Sécurité Uncategorized

Failles de sécurité Microsoft Exchange

DFi Service vous propose son retour d’expérience sur le plan d’action adopté pour ses clients, ses conseils et ses recommandations.

Ces derniers jours, de nombreux communiqués ont fait état d’attaques massives impactant des serveurs de messagerie du monde entier, DFi Service vous propose de revenir sur la situation.

Le 02/03/2021, Microsoft a rendu publique de multiples vulnérabilités ciblant les serveurs de messagerie Microsoft Exchange. À la suite de cette annonce, des patchs de sécurité ont été mis à disposition par Microsoft. Ces mises à jour corrigent une chaine de vulnérabilités d’exécution de code à distance (RCE) de pré-authentification (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065) qui permettent à des attaquants de pouvoir compromettre les serveurs.

Malgré les mesures entreprises, les analyses de DFi et les différents organismes de sécurité (CERT / CSIRT), ont permis d’identifier que ces vulnérabilités étaient déjà activement exploitées (0days) bien avant la publication des correctifs par Microsoft.

Figure1. Chronologie des événements

Pour faire suite à ces risques, DFi Service a décidé de déployer un plan massif de réponse sur incidents pour l’ensemble des clients managés, afin de couvrir les aspects suivants :

  • Identification des serveurs impactés
  • Patching des serveurs vulnérables
  • Identification de signes de compromissions
  • Nettoyage des fichiers malicieux

 

Ces actions ont pu être complétées par DFi Service avec des analyses plus poussées afin d’identifier un potentiel risque post-exploitation (analyses forensique). ou par l’intégration de solutions de détections avancées (Security Operations Center, EDR, …)

En plus du plan de réponse à incident, DFi Service a pris contact avec l’ensemble de ses clients managés impactés afin de proposer des recommandations adaptées au contexte, à l’environnement et à l’architecture du client.

 

Recommandations et principes de sécurité :

Pour garantir une meilleure protection des serveurs de messagerie Exchange, DFi Service recommande d’appliquer les bonnes pratiques suivantes :

  • Adopter le principe d’architecture sécurisée by design pour éviter de rendre le serveur Exchange directement accessible depuis internet :
  • Mise en place d’un pare-feu applicatif web (WAF) permettant de filtrer et sécuriser les flux web entrants
  • Mise en place d’un bastion SMTP permettant de sécuriser les flux SMTP entrants et sortants
  • Mise en place d’un bastion ou proxy WEB pour filtrer les flux web sortants du serveur de messagerie
  • Maintenir à jour et déployer les correctifs sur l’ensemble du système d’information
  • Définir une conduite de réponse à incident, permettant d’établir les actions à entreprendre lorsque des incidents de sécurité majeurs surviennent.
  • Intégrer des solutions de détections avancées :
  • Service SIEM/SOC pour monitorer l’ensemble du système d’informations et apporter une détection en temps réel
  • Antivirus EDR pour accroitre la sécurité sur les postes de travails
  • Définir une stratégie de sauvegarde et de restauration adaptée
  • Définir une stratégie de réponse à incident pour entreprendre les bonnes mesures

Pour l’ensemble de ces principes, DFi Service peut vous proposer un accompagnement personnalisé sur-mesure.