Pourquoi la contre-attaque contre ProxyLogon est-elle exceptionnelle ?
Rarement les victimes potentielles d'une cyberattaque auront réagi si rapidement.
En même temps que son avertissement, Microsoft a publié un patch, une mise à jour destinée à colmater les quatre failles d'Exchange. Ce faisant, il a lancé un contre-la-montre entre les responsables des serveurs vulnérables, et les attaquants qui voulaient trouver un moyen rapide d'exploiter cette nouvelle faille. Cette course tourne le plus souvent à l'avantage des malfaiteurs, mais cette fois, les défenseurs peuvent se féliciter.
https://twitter.com/msftsecresponse/status/1374075310195412992?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1374075310195412992%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.bleepingcomputer.com%2Fnews%2Fsecurity%2Fmicrosoft-92-percent-of-exchange-servers-safe-from-proxylogon-attacks%2F
Le 23 mars, trois semaines après son annonce, Microsoft a tiré un bilan exceptionnel : 92 % des 400 000 serveurs vulnérables ont été patchés, ou ont au moins déployé une rustine temporaire, mais efficace. Ce sont autant de serveurs désormais imperméables à ProxyLogon, et il ne reste plus « que » 30 000 serveurs vulnérables à l'attaque.
The Record Media note que la Maison-Blanche, par le biais de la conseillère Anne Neuberger déjà en charge du dossier SolarWinds, s'attribue une large part de responsabilité dans cette réussite. L'administration Biden aurait mis la pression sur Microsoft pour réduire au maximum le nombre de serveurs vulnérables.
92 % de serveurs protégés après seulement 3 semaines
Pour comprendre ce nombre exceptionnel, il faut avoir en tête que déployer un patch sur un réseau informatique de taille conséquente n'est pas aussi simple que de lancer une mise à jour sur son PC. Il faut une certaine organisation, et certaines compétences en interne, qu'il manque parfois aux petites organisations.
Afin de combler ce manque, Microsoft a publié un outil capable d'agir comme rustine contre ProxyLogon, en attendant un déploiement du patch. Cet outil est utilisable sans compétences en informatique, et exécutable en quelques clics. Et en plus, il détecte et nettoie les éventuels dégâts causés par des malfaiteurs qui auraient déjà exploité la faille. Le géant de l'informatique est même allé plus loin et a intégré des protections contre la cyberattaque aux mises à jour automatiques de son antivirus Microsoft Defender.
À titre de comparaison, The Record Media rappelle qu'un autre bug critique de Microsoft Exchange (CVE-2020-0688), découvert en février 2020, n'était patché que sur 39 % des serveurs vulnérables 6 mois plus tard. Autre exemple, sur une attaque plus grand public : target="_blank" rel="noopener">1,7 million d'appareils étaient encore vulnérables au terrible WannaCry, deux ans après la publication de correctifs pour s'en protéger.
Plus généralement, les cybercriminels, à commencer par les redoutés gangs rançongiciels, exploitent des failles connues dans leurs cyberattaques. Concrètement, les hackers analysent les versions des logiciels utilisés par leurs cibles, et si un d'entre eux n'est pas à jour, ils cherchent quelles vulnérabilités connues ils pourront exploiter. Ils n'ont plus qu'à télécharger gratuitement ou acheter des outils déjà éprouvés pour exploiter ces failles, et s'introduire chez leurs victimes. Il est très rare qu'ils aient connaissance d'une « zero day », une de ces failles inconnues de l'éditeur du logiciel.
Malgré le bilan positif de la réaction contre ProxyLogon, plusieurs organisations ont profité de la fuite pendant plusieurs jours : pas moins de dix APT, ces groupes de hackers à la solde d'États, deux gangs rançongiciels, et des organisations de cryptominining. Autrement dit, en plus des mesures de préventions, certaines organisations devront aussi faire du nettoyage à la recherche de traces laissées par d'éventuels intrus.