Unit42/Palo Alto Networks : Cyberattaque Microsoft, que s’est-il vraiment passé ? Quels sont les pays et nombre de serveurs encore vulnérables ?
mars 2021 par Unit42/Palo Alto Networks
L’Unit42, unité de recherche sur les menaces de Palo Alto Networks, a reconstitué le fil des événements concernant l’attaque Microsoft Exchange Server.
L’Unit42 a également poursuivi son analyse de l’attaque et révèle les éléments ci-dessous :
Le nombre de serveurs Exchange non corrigés a fortement chuté cette semaine alors que les clients Microsoft se précipitaient pour installer les mises à jour de sécurité, selon de nouvelles données collectées par la plate-forme Palo Alto Networks Expanse. Le correctif rapide fait suite aux avertissements selon lesquels les pirates exploitent quatre vulnérabilités zero-day dans le logiciel de messagerie largement utilisé.
Le nombre de serveurs vulnérables exécutant d’anciennes versions d’Exchange qui ne peuvent pas appliquer directement les correctifs de sécurité récemment publiés a chuté de plus de 30%, passant d’environ 125 000 à 80 000, selon les analyses Internet d’Expanse menées les 8 et 11 mars.
« Je n’ai jamais vu des taux de correctifs de sécurité aussi élevés pour aucun système, encore moins pour un système aussi largement déployé que Microsoft Exchange », a déclaré Matt Kraning, directeur de la technologie Cortex chez Palo Alto Networks. « Néanmoins, nous exhortons les organisations exécutant toutes les versions d’Exchange à supposer qu’elles ont été compromises avant de corriger leurs systèmes, car nous savons que les attaquants exploitaient ces vulnérabilités zero-day dans la nature pendant au moins deux mois avant que Microsoft ne publie les correctifs le 2 mars. "
Les chercheurs de Palo Alto Networks ont utilisé la plate-forme Expanse pour identifier les serveurs exposés à Internet exécutant d’anciennes versions d’Exchange qui ne peuvent pas appliquer directement le correctif de sécurité récemment publié pour les vulnérabilités zero-day.
Voici les 12 pays avec le plus grand nombre de serveurs Exchange vulnérables confirmés, au 11 mars :
États-Unis - 20 000
Allemagne - 11000
Royaume-Uni - 4 900
France - 4 000
Italie - 3700
Russie - 2900
Canada - 2 700
Suisse - 2500
Australie - 2200
Chine - 2100
Autriche - 1700
Pays-Bas - 1600