Exchange de plus en plus attaqué !
Recrudescence des attaques contre les serveurs Exchange. Microsoft alerte les entreprises. Mise à jour au plus vite des solutions de messagerie.
« Nous l’avons déjà dit, nous le disons maintenant et nous continuerons de le dire : il est essentiel de maintenir vos serveurs Exchange à jour ! », écrit Microsoft dans un récent post. Les serveurs sont confrontés à une succession de failles qui doivent être corrigées au plus vite.
Les rapports se succèdent. Tous montrent que les cybercriminels ont une appétence particulière pour les serveurs Exchange. En quelques mois, Microsoft a joué au pompier en corrigeant plusieurs failles critiques au sein des Patch Tuesday. « Installez les dernières CU (Cumulative Updates) de sécurité disponibles sur tous les serveurs Exchange -et dans certains cas, les postes de travail Exchange Management Tools », conseille l’éditeur. Effectuez occasionnellement des tâches manuelles pour renforcer l’environnement. Notamment l’activation de la protection étendue. Plus l’activation de la signature de certificat des charges utiles de sérialisation PowerShell.
Exchange, rôle central. Première porte d’entrée
« Les attaquants cherchant à exploiter des serveurs Exchange non corrigés ne vont pas disparaître, commente Microsoft. De trop nombreux aspects des environnements Exchange sur site non corrigés sont précieux pour les acteurs malveillants qui cherchent à exfiltrer des données ou à commettre d’autres actes malveillants… »
Premièrement, les boîtes aux lettres des utilisateurs contiennent souvent des données critiques et sensibles. Deuxièmement, chaque serveur contient une copie du carnet d’adresses de l’entreprise. Lequel fournit de nombreuses informations utiles pour les attaques d’ingénierie sociale. Citons ici la structure organisationnelle, les titres, les coordonnées, etc. Enfin, troisièmement, Exchange dispose de liens profonds et d’autorisations au sein d’Active Directory. Et, dans un environnement hybride, d’un accès à l’environnement cloud connecté.
« Pour défendre vos serveurs contre les attaques qui exploitent des vulnérabilités connues, vous devez installer CU12 pour Exchange Server 2019, CU23 pour Exchange Server 2016 et CU23 pour Exchange Server 2013 et la dernière SU (Security Update). Les CU et les SU d’Exchange Server sont cumulatifs, il vous suffit donc d’installer le dernier disponible. Vous installez la dernière CU, puis voyez si des SU ont été publiés après la publication de la CU. Si tel est le cas, installez le SU le plus récent. »
Par étapes…
Après l’installation d’une mise à jour, il peut y avoir des tâches manuelles qu’un administrateur doit effectuer. Donc, conseille encore Microsoft, exécutez toujours Health Checker après l’installation d’une mise à jour. Health Checker fournit des liens vers des articles qui fournissent des conseils étape par étape.
« Avant de publier une SU, nous pouvons publier une atténuation pour une vulnérabilité connue qui peut être appliquée aux serveurs automatiquement par le service d’atténuation d’urgence ou manuellement à l’aide de l’outil d’atténuation sur site d’Exchange, avertit Microsoft. Evidemment, les mesures d’atténuation sont conçues pour fournir une protection temporaire jusqu’à ce qu’une SU soit disponible et puisse être installée. Dans certains cas, les atténuations peuvent devenir insuffisantes pour se protéger contre toutes les variantes d’une attaque. Ainsi, l’installation d’un SU applicable est le seul moyen de protéger vos serveurs. »
Ce qu’il faut savoir avant de commencer
° Durée d’exécution estimée : 180 minutes
° Le compte pour installer la mise à jour cumulative nécessite un abonnement dans le groupe de rôles de la Gestion de l’organisation Exchange. Si la mise à jour cumulative nécessite des mises à jour de schéma Active Directory ou une préparation de domaine, le compte aura probablement besoin d’autorisations supplémentaires. Détails sur : Préparer Active Directory et les domaines pour Exchange Server.
° Consulter les Notes de publication avant d’installer la mise à jour cumulative. Vérifier que le serveur cible répond à la configuration requise possible du nouveau système et aux conditions préalables pour la mise à jour cumulative. Détails sur : Conditions requises pour Exchange Server et Conditions préalables pour Exchange Server.
° Une fois la mise à jour cumulative installée, redémarrer l’ordinateur pour que les changements soient pris en compte dans le Registre et le système d’exploitation.