Hack de Microsoft Exchange : la popularité a aussi ses inconvénients

Le hack de Microsoft Exchange révélé en mars 2021 n’est qu’un exemple des multiples attaques menées récemment contre Microsoft par des groupes de cyberespionnage. Si le hack de SolarWinds en décembre 2020 n’avait pas suffi à le faire comprendre, cette dernière attaque montre bien que Microsoft représente une cible des plus importantes et lucratives.

Chronologie du hack de Microsoft Exchange

Le 2 mars 2021, Microsoft a annoncé la découverte de plusieurs vulnérabilités touchant Exchange Server et publié dans la foulée des correctifs pour toutes les versions. En réalité, les attaques contre les serveurs Exchange avaient commencé en janvier. On pense ainsi que les hackers ont été informés de ces vulnérabilités en amont, peut-être par le biais de fuites du code de preuve de concept communiqué aux fournisseurs et partenaires de cybersécurité de Microsoft.

Hack Microsoft Exchange - logo Microsoft

Les hackers qui ont piraté les serveurs Exchange de leurs victimes y ont installé des shells Web leur offrant un accès à distance aux systèmes compromis. Armés d’un accès illimité et d’une porte dérobée leur permettant de revenir quand bon leur semble, ils ont pu télécharger en toute tranquillité les données des emails et installer des ransomwares sur les systèmes.

L’application des correctifs, bien que recommandée, ne permet pas de résoudre la situation. Microsoft a depuis publié un outil de neutralisation pour Exchange en un clic permettant aux administrateurs d’identifier rapidement les systèmes compromis, mais cette solution est intervenue trop tard pour de nombreuses entreprises.

Le hack de Microsoft Exchange d’origine proviendrait de Hafnium, un groupe APT originaire de Chine, mais d’autres groupes se sont immédiatement engouffrés dans la brèche en ciblant les entreprises qui n’avaient pas encore appliqué les correctifs sur leurs systèmes. À l’heure où nous écrivons ces lignes, jusqu’à 30 000 personnes aux États-Unis et 250 000 dans le monde auraient été touchées.

Et maintenant ?

Évolution notable par rapport aux attaques d’envergure classiques, le hack d'Exchange a principalement touché les PME, qui contrairement à leurs homologues plus importantes, n’ont pas encore adopté massivement le cloud et des solutions comme Microsoft 365. Il convient de noter que petit ne veut pas dire insignifiant : les sous-traitants du Département de la défense sont des petites entreprises, tout comme les collectivités. Leurs clients, contacts et fournisseurs sont désormais tout aussi exposés.

Les entreprises touchées ont été victimes de ransomwares dans les jours qui ont suivi les violations, mais d’autres attaques ayant l’email pour vecteur ne manqueront pas de suivre. Avec des adresses email et listes de contacts à leur disposition, les hackers peuvent en effet lancer des attaques de phishing et de spear phishing depuis l’intérieur et l’extérieur contre les personnes dont les adresses email ont été exposées.

Ce hack de Microsoft Exchange pourrait accélérer un phénomène déjà initié il y a quelque temps en raison des coûts et difficultés de la gestion de serveurs sur site et des plans de reprise après sinistre : la migration massive des PME vers Microsoft 365. La faiblesse de ses coûts initiaux et des ressources informatiques exigées, mais aussi son évolutivité, font de Microsoft 365 la solution optimale pour les PME sans équipe informatique ou d’une équipe dont l’envergure est limitée.

En vérité, de nombreux acteurs de cybersécurité recommandent ce choix au vu des récentes attaques. Toutefois, même si le hack de Microsoft Exchange a touché de plein fouet les serveurs sur site, cela ne signifie pas pour autant que l’email dans le cloud est immunisé contre de telles attaques. Les hackers ne s’intéressent pas aux serveurs, mais à Microsoft.

Microsoft, un géant bien seul

En 2018, Microsoft est devenue la principale marque usurpée dans des attaques de phishing, une place jamais cédée depuis. Avant l’explosion du phishing ciblant la firme de Redmond, c’était PayPal qui avait les faveurs des hackers. Ce changement de cible avait marqué une évolution dans les stratégies des hackers, qui ont reconnu la supériorité de la valeur à long terme des données d’entreprise par rapport aux gains rapides associés au phishing grand public.

Aujourd’hui, Microsoft occupe la première place sur le marché de la messagerie et des suites de productivité, avec 258 millions d’utilisateurs professionnels pour sa seule plateforme Microsoft 365. À mesure que la popularité de la plateforme a augmenté, les attaques contre Microsoft redoublent d’intensité. Les quantités phénoménales de données hébergées sur SharePoint et OneDrive offrent des opportunités illimitées aux cybercriminels, qui ne se gênent pas pour en tirer parti.

En compromettant un seul compte Microsoft à l’aide d’un email de phishing, ils peuvent ainsi générer des dégâts considérables avant même que leur attaque ne soit détectée. D’après un récent article, 71 % des utilisateurs de Microsoft 365 se sont fait pirater leur compte au cours de l’année passée et 96 % des comptes exploités ont fait l’objet d’un déplacement latéral.

Hack Microsoft Exchange - loupe sur Microsoft 365

Les attaques latérales dans Microsoft 365 peuvent notamment inclure des attaques de phishing et de spear phishing basées sur des identifiants Microsoft 365 compromis. Même si le phishing est généralement associé au vol d’identifiants, il ne faut pas oublier qu’il s’agit également d’une méthode de choix pour installer des ransomwares, car la mise en place d’une campagne de phishing est relativement simple et bon marché par rapport aux autres méthodes.

La dominance de Microsoft a atteint des sommets en 2020 en raison de l’épidémie de COVID-19 et du recours massif au télétravail. Pour autant, être n° 1 n’est pas sans inconvénient. En raison de sa popularité, Microsoft constitue une cible de choix, à la fois vaste et simple d’accès. Comme l’ont constaté de nombreux MSP, les outils de sécurité intégrés de Microsoft ne suffisent pas à se prémunir des attaques. Pour renforcer Microsoft 365, ils doivent adopter une approche de type Zero trust sur plusieurs niveaux.

 White paper - Email Security for M365 - FR