Rapport: 92% des serveurs Microsoft Exchange sont désormais protégés contre ProxyLogon
Microsoft signale qu'environ 92% de tous les serveurs Microsoft Exchange sont désormais mis à jour et protégés contre la vulnérabilité ProxyLogon qui a affecté le service – et les équipes de recherche et d'intervention en matière de sécurité – pendant des semaines.
Le nombre de serveurs Microsoft Exchange non corrigés s'élève à environ 30 000, contre un maximum d'environ 400 000.
Réduction considérable des serveurs Microsoft Exchange vulnérables
Un nombre total exact de serveurs Microsoft Exchange vulnérables n'est pas connu.
Cependant, le 2 mars, lorsque Microsoft a publié son premier ensemble de correctifs de sécurité, environ 400 000 serveurs Exchange étaient vulnérables à la vulnérabilité ProxyLogon. Une semaine après le lancement et la mise en œuvre des correctifs de sécurité, le 9 mars, ce chiffre était tombé à environ 100 000 serveurs non corrigés.
À présent, le dernier rapport de Microsoft indique qu'il reste moins de 30 000 serveurs Exchange vulnérables.
Notre travail se poursuit, mais nous constatons une forte dynamique pour les mises à jour locales d'Exchange Server:
• 92% des adresses IP Exchange dans le monde sont désormais corrigées ou atténuées.
• Amélioration de 43% dans le monde la semaine dernière. pic.twitter.com/YhgpnMdlOX– Réponse de sécurité (@msftsecresponse) 22 mars 2021
Depuis ce tweet, il est probable que le nombre ait encore diminué.
Microsoft a pris des mesures importantes pour protéger les serveurs Microsoft Exchange vulnérables face à la vulnérabilité prolongée de ProxyLogon. Par exemple, l'outil de réduction sur site Exchange (EOMT) est un outil de correction ProxyLogon en un clic qui permet aux clients Microsoft Exchange Server de sécuriser rapidement leur infrastructure.
Microsoft a également ajouté un outil de correction automatique Microsoft Defender. Selon un article sur le blog officiel de Microsoft Security , les clients utilisant Microsoft Defender Antivirus et System Center Endpoint Protection « atténueront automatiquement CVE-2021-26855 sur tout serveur Exchange vulnérable sur lequel il est déployé».
Est-ce la fin de ProxyLogon?
ProxyLogon a été un problème sérieux pour les clients Microsoft Exchange Server. L'attaque a touché des dizaines de milliers de serveurs, couvrant des entreprises de toutes formes et tailles.
La vulnérabilité ProxyLogon a regroupé quatre exploits zero-day pour attaquer les serveurs Microsoft Exchange. Après la divulgation de la vulnérabilité, plusieurs industries à travers le monde ont signalé une recrudescence des attaques, les clients de Microsoft Exchange Server signalant des logiciels malveillants d'extraction de crypto-monnaie, divers types de ransomwares, des shells Web, etc., tous étant déployés par des parties malveillantes.
Un article de blog d'ESET Research a révélé que les serveurs Microsoft Exchange étaient attaqués par «au moins 10 groupes APT [Advanced Persistent Threat]», qui cherchaient tous à tirer parti de la vulnérabilité.
Nous avons remarqué que les vulnérabilités étaient utilisées par d'autres acteurs de la menace, à commencer par Tick et rapidement rejoints par LuckyMouse, Calypso et le groupe Winnti. Cela suggère que plusieurs acteurs de la menace ont eu accès aux détails des vulnérabilités avant la publication du correctif, ce qui signifie que nous pouvons écarter la possibilité qu'ils aient construit un exploit en procédant à une ingénierie inverse des mises à jour Microsoft.
La vulnérabilité ProxyLogon n'est pas tout à fait terminée. Il existe encore plus de 20 000 serveurs Microsoft Exchange vulnérables, mais les clients et les sociétés de sécurité espèrent que la fin est en vue.