L’autorité nationale allemande de cybersécurité a averti mardi qu’elle avait découvert qu’au moins 17 000 serveurs Microsoft Exchange en Allemagne étaient exposés en ligne et vulnérables à une ou plusieurs failles de sécurité critiques.

Selon l’Office fédéral allemand de la sécurité de l’information (BSI), environ 45 000 serveurs Microsoft Exchange en Allemagne ont Outlook Web Access (OWA) activé et sont accessibles depuis Internet.

Environ 12% de ces serveurs utilisent encore des versions obsolètes d’Exchange (2010 ou 2013), qui n’ont pas reçu de mises à jour de sécurité depuis octobre 2020 et avril 2023, respectivement.

Pour les serveurs Exchange 2016 ou 2019 exposés en ligne, environ 28% n’ont pas été corrigés depuis au moins quatre mois et sont vulnérables à au moins une faille de sécurité critique exploitable dans les attaques d’exécution de code à distance.

« Globalement, au moins 37% des serveurs Exchange en Allemagne (et dans de nombreux cas également les réseaux qui les sous-tendent) sont gravement vulnérables. Cela correspond à environ. 17 000 systèmes. En particulier, de nombreuses écoles et collèges, cliniques, cabinets médicaux, services infirmiers et autres institutions médicales, avocats et conseillers fiscaux, gouvernements locaux et entreprises de taille moyenne sont touchés », a averti le BSI [PDF].

« Dès 2021, le BSI a mis en garde à plusieurs reprises contre l’exploitation active de vulnérabilités critiques dans Microsoft Exchange et a temporairement qualifié la situation de menace informatique de « rouge ». »Néanmoins, la situation ne s’est pas améliorée depuis lors, car de nombreux opérateurs de serveurs Exchange continuent d’agir de manière très négligente et ne publient pas les mises à jour de sécurité disponibles en temps opportun. »

Failles critiques affectant les serveurs Exchange 2016/2019 exposées en ligne en Allemagne

​Le BSI a exhorté les administrateurs de ces serveurs non corrigés à toujours utiliser les versions actuelles d’Exchange, à installer toutes les mises à jour de sécurité disponibles et à configurer les instances exposées en ligne en toute sécurité.

Pour ce faire, ils doivent vérifier régulièrement si leurs systèmes sont au niveau de correctif Microsoft Exchange actuel et s’assurer que les mises à jour de sécurité mensuelles de mars 2024 sont installées dès que possible:

  • Serveur Exchange 2019 CU14 Mar24SU (numéro de build 15.2.1544.9)
  • Serveur Exchange 2019 CU13 Mar24SU (numéro de build 15.2.1258.32)
  • Serveur Exchange 2016 CU23 24 mars SU (numéro de build 15.1.2507.37)

Le BSI recommande également de restreindre l’accès aux services Web Exchange Server tels que l’accès Web Outlook aux adresses IP sources fiables ou de les sécuriser via un VPN plutôt que de les rendre accessibles depuis Internet.

De plus, pour se protéger contre l’exploitation active de la vulnérabilité d’escalade de privilèges critiques CVE-2024-21410 divulguée par Microsoft le mois dernier, ils doivent activer une protection étendue sur tous les serveurs Exchange à l’aide de ce script PowerShell dédié.

En février, le service de surveillance des menaces Shadowserver a averti que 28 500 serveurs Microsoft Exchange étaient vulnérables aux attaques en cours CVE-2024-21410. Shadowserver a également confirmé les conclusions de BSI, affirmant que jusqu’à 97 000 serveurs, dont plus de 22 000 en Allemagne, pourraient être potentiellement vulnérables si la protection étendue n’était pas activée.

Microsoft active désormais automatiquement la protection étendue sur les serveurs Exchange après l’installation de la mise à jour cumulative H1 de février 2024 (CU14).

Il y a un an, la société a également exhorté les administrateurs Exchange à maintenir leurs serveurs locaux à jour, afin qu’ils soient toujours prêts à déployer des correctifs de sécurité d’urgence.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *