Microsoft aurait-t-il enfin trouvé un moyen de mettre fin aux vagues de cyberattaques contre son service de messagerie professionnelle Exchange ? Début 2021, un groupe de hacker à la solde de l'état chinois, connu sous le nom "Halfnium", avait découvert une chaîne de vulnérabilités dans Microsoft Exchange et s'en était donné à cœur joie.
Grâce à ces failles, les cybercriminels avaient installé un "webshell", c'est-à-dire une interface de contrôle alternative, sur les serveurs vulnérables. Concrètement, cette mainmise leur permettait d'épier les messageries électroniques des organisations victimes, d'accéder aux carnets de contacts des employés ou encore d'envoyer des emails à partir d'une des adresses de l'organisation.
Microsoft Exchange Emergency Mitigation Service, un outil pour les plus vulnérables
Baptisée ProxyLogon par les chercheurs, la chaîne de vulnérabilité a été réparée en mars 2021. Mais entre les organisations déjà touchées avant la sortie du correctif et celles qui ont mis trop de temps à réagir, le nombre total de victimes s'élèverait à plusieurs dizaines de milliers. Si ProxyLogon se distingue par sa virulence, il n'était que le dernier incident d'une série de vulnérabilités successives trouvées à intervalle régulier dans Microsoft Exchange depuis 2016.
Alors pour mieux protéger ses clients contre les écueils de son propre logiciel, Microsoft a pris une mesure radicale le 28 septembre. Il a publié un nouvel outil de sécurité, nommé Microsoft Exchange Emergency Mitigation Service (EM). Désormais déployé par défaut sur les instances de Microsoft Exchange qui ont effectué la dernière mise à jour, ce dispositif permet à l'éditeur de faire des modifications automatiques sur le système de ses clients, en cas d'urgence similaire à Proxylogon. Concrètement, EM va pouvoir mettre en place des mesures de mitigation, destinés à bloquer l'exploitation de la vulnérabilité, en attendant la publication d'un correctif. Il peut désactiver certains sous-programmes d'Exchange, ou bloquer certains types de requêtes envoyées au serveur, qui sont identifiés par Microsoft comme malveillantes.
Cette approche choisie par l'éditeur marque une première dans l'industrie du logiciel. Véritable prise de responsabilité supplémentaire de la part de Microsoft, l'annonce du nouvel outil a été très bien accueillie par les experts du secteur. D'un côté, c'est une nouvelle défense généralisée pour les organisations les plus vulnérables, ce qui augmente le niveau de sécurité globale. De l'autre, l'éditeur laisse la possibilité de désactiver l'outil pour les entreprises les mieux sécurisées qui souhaiteraient elles-mêmes déployer les méthodes de mitigation.
Sujets les + commentés