NCSC émet une alerte d’urgence sur le patch Microsoft Exchange

Le National Cyber Security Centre (NCSC) du Royaume-Uni a émis une alerte d’urgence appelant des milliers d’organisations à risque à travers le pays à mettre immédiatement à jour leurs serveurs Microsoft Exchange sur place en urgence, à la suite des divulgations et de l’exploitation de ProxyLogon.

Compte tenu du nombre croissant de groupes avancés de menaces persistantes (APT) et d’autres acteurs malveillants profitant des vulnérabilités, y compris un nombre limité d’opérateurs de ransomware cybercriminels, le NCSC a publié de nouvelles orientations pour aider les organisations vulnérables à réduire le risque de ransomware et d’autres infections de logiciels malveillants.

« Nous travaillons en étroite collaboration avec l’industrie et nos partenaires internationaux pour comprendre l’ampleur et l’impact de l’exposition au Royaume-Uni, mais il est essentiel que toutes les organisations prennent des mesures immédiates pour protéger leurs réseaux », a déclaré Paul Chichester, directeur des opérations du NCSC.

« Bien que ce travail soit en cours, l’action la plus importante est d’installer les dernières mises à jour Microsoft. Les organisations devraient également être à l’avant-courant de la menace de ransomware et se familiariser avec nos conseils. Tous les incidents affectant les organisations britanniques doivent être signalés à la NCSC », a-t-il déclaré.

Il est important de noter que l’installation des correctifs de Microsoft ne fera qu’arrêter les compromis futurs, et non pas ceux qui ont déjà eu lieu, il est donc également essentiel de scanner les systèmes et les réseaux pour tout signe d’intrusion, en particulier les webshells déployés à travers la chaîne d’exploitation. Microsoft Safety Scanner peut aider à les détecter.

La NCSC a évalué le nombre de serveurs vulnérables au Royaume-Uni entre 7 000 et 8 000, dont environ la moitié ont déjà été corrigés. Les scans effectués par Palo Alto Networks ces derniers jours suggèrent que les taux de patchs sont en effet élevés – l’entreprise a affirmé que le nombre de serveurs vulnérables exécutant d’anciennes versions d’Exchange qui ne peuvent pas appliquer directement les correctifs a chuté de 30% entre le 8 et le 11 mars.

Le CNSC a beaucoup travaillé avec les organisations gouvernementales, publiques et privées pour faire passer le mot et il est entendu qu’il a déjà contacté de manière proactive de nombreuses organisations vulnérables.

Mais avec l’exploitation de ProxyLogon qui s’étend au-delà des acteurs soutenus par l’État, il devient maintenant clair que les organisations qui ne se sont peut-être pas crues en danger au départ sont en danger.

Au-delà du NCSC, des conseils de Microsoft sur le patching sont disponibles, ainsi que des atténuations – qui ne doivent absolument pas être invoquées à long terme.

Pour les organisations qui ne peuvent ni installer un patch ni appliquer les mesures d’atténuation recommandées, le NCSC recommande d’isoler immédiatement votre serveur Exchange d’Internet en bloquant les connexions non sécurisées au port 443, et si une solution d’accès à distance sécurisée est en place, comme un VPN, configurant Exchange uniquement disponible via cette solution. Encore une fois, il s’agit de correctifs temporaires sur lesquels il ne faut pas s’appuyer.

Joe Hancock, responsable de MDR cyber au cabinet d’avocats Mishcon de Reya, a commenté: « Dans les heures qui ont après la sortie de la vulnérabilité, il est devenu clair qu’elle était activement exploitée à grande échelle. Nous avons vu des preuves d’attaques répétées persistantes avec les attaquants de suivi pour voir si elle avait été couronnée de succès.

« Il est probable qu’en termes de nombre de victimes, ce n’est pas la partie émergée de l’iceberg et que les pires impacts de cette attaque sont encore susceptibles de se faire. Une grande partie de l’effort de nettoyage n’est pas seulement sur les systèmes de correction ou de supprimer des fichiers d’un attaquant, comme une fois exploité, il est également nécessaire d’enquêter sur ce qu’un attaquant a fait et quelles informations ils ont maintenant. Même sans être activement ciblées, les organisations devront gérer leur vulnérabilité potentielle », a déclaré M. Hancock.

« Comme prévu, les groupes ransomware ont déjà été vus pour exploiter ces défauts à des fins financières. Cette activité toujours très médiatisée augmentera probablement la pression sur les gouvernements occidentaux pour qu’ils réagissent, étant donné les liens initiaux largement rapportés avec la Chine.