Menu

Faille Microsoft Exchange : le plan de réponse

Au début du mois de mars, Microsoft a signalé une faille de Microsoft Exchange exploitée par des cyberattaquants. D’abord estimé à 30 000, le nombre d’organisations touchées pourraient encore croître. La faille Microsoft Exchange semble en effet avoir été abondamment utilisée, avant l’arrivée des correctifs. Elle continue de se diffuser, notamment par le biais du ransomware DearCry. Au-delà de la mise en place du patch, il est primordial de vérifier que l’entreprise n’a pas été attaquée.

En partenariat avec Varonis, APIXIT vous propose un plan pour faire face à cette menace. Celui-ci explique comment :

  • Identifier et patcher les serveurs Exchange
  • Identifier des signes de compromissions (avec la fourniture de scripts)
  • Rechercher des activités post-intrusion et y remédier (avec et sans les solutions Varonis)

Ce plan prend également en compte les autres activités de type APT observées récemment.

Il est primordial pour la sécurité de l’entreprise de patcher dans les plus brefs délais les serveurs Exchange on-premise. Cependant, les serveurs vulnérables ont déjà pu être compromis. À l’origine des premières attaques, le groupe de pirates chinois Hafnium opère depuis plusieurs semaines de façon furtive. Il peut donc, après avoir obtenu des privilèges admin, exfiltrer des données au travers de flux DNS avant de recourir à un cryptolocker.

Il est primordial d’agir pour éviter la demande de rançon. Pour l’heure, nous disposons d’une bonne compréhension de la méthodologie des attaquants. Celle-ci nous permet de détecter leur présence par la mise en place de points de contrôle.

Concrètement, APIXIT propose un audit s’appuyant sur la mise en place d’une sonde Varonis. La prestation inclue la mise à disposition pour quelques semaines de l’outillage. Pour bénéficier de cette offre, renseignez votre adresse mail ci-dessous.

    Adresse email