Posté le mars 28, 2023 à 6:00
MICROSOFT BLOQUE AUTOMATIQUEMENT TOUS LES E-MAILS AVEC LA NOUVELLE FONCTION DE SÉCURITÉ D’EXCHANGE ONLINE
Le géant de la technologie Microsoft a lancé une nouvelle fonction de sécurité pour Exchange Online. Cette fonction sera utilisée pour commencer automatiquement à limiter et à bloquer tous les e-mails qui ont été envoyés à partir de « serveurs Exchange vulnérables de manière persistante ». La fonction sera automatiquement déployée 90 jours après que les administrateurs aient été informés de la nécessité de les sécuriser.
Microsoft lance une fonction de sécurité pour Exchange Online
L’équipe de Microsoft a constaté que les serveurs Exchange fonctionnaient dans les locaux de l’entreprise ou dans des environnements hybrides. Ces serveurs utilisent des logiciels en fin de vie et n’ont pas été corrigés des failles de sécurité identifiées par le passé. Les logiciels en fin de vie comprennent les serveurs fonctionnant en 2007, 2020 et jusqu’en 2013.
« Tout serveur Exchange en fin de vie (par exemple, Exchange 2007, Exchange 2010 et bientôt Exchange 2013) ou dont les vulnérabilités connues n’ont pas été corrigées », précise l’équipe.
Cependant, les serveurs Exchange en fin de vie ne sont pas les seuls concernés par cette vulnérabilité. Par exemple, les serveurs Exchange 2016 et Exchange 2019 sont également vulnérables s’ils ne parviennent pas à mettre en œuvre les mises à jour de sécurité. Ces serveurs sont considérés comme vulnérables aux exploits de manière persistante si un correctif n’a pas été déployé.
Selon Microsoft, le nouveau « système d’application basé sur le transport » d’Exchange Online contient trois fonctions distinctes. Les fonctions de ce système comprennent le blocage, le rapport et l’étranglement. Ces fonctions garantiront aux clients l’accès à des services de premier ordre qui leur apporteront la plus grande valeur ajoutée.
Le lancement de ce nouveau système vise à garantir que les administrateurs Exchange puissent détecter les serveurs Exchange sur site non corrigés et non pris en charge. Ces serveurs permettent aux plateformes de mettre à jour leurs offres et de publier un correctif avant que ces plateformes ne deviennent des menaces pour la sécurité.
Néanmoins, les serveurs seront également en mesure d’étrangler. La plateforme sera aussi en mesure de bloquer les courriels envoyés à partir de serveurs Exchange qui n’ont pas encore fait l’objet d’un correctif. Cela se fera avant d’accéder aux boîtes de messagerie Exchange Online.
Le nouveau système d’application ciblera les serveurs sous Exchange Server 2007. Cela peut se faire à l’aide de connecteurs OnPremises qui enverront le mail. L’initiative permettra également de procéder à des ajustements avant que le système ne soit étendu à toutes les versions d’Exchange. Cela peut se faire indépendamment de la façon dont ces versions se connectent à Exchange Online.
L’équipe a indiqué qu’elle avait utilisé une approche progressive qui a été conçue pour augmenter l’étranglement de façon graduelle. L’approche utilisée introduit aussi le blocage des courriels jusqu’à ce que tous les e-mails envoyés à partir des serveurs vulnérables aient été rejetés.
Les mesures d’exécution ont été soigneusement conçues pour s’intensifier lentement. Elle peut être appliquée jusqu’à ce que les serveurs Exchange vulnérables aient été corrigés en supprimant le service ou les versions en fin de vie. Un correctif peut également être introduit si les versions sont toujours prises en charge.
L’équipe Exchange a également indiqué que l’objectif de la plateforme était de s’assurer que les clients puissent sécuriser leur environnement. Les clients peuvent accéder à la fonctionnalité à chaque fois qu’ils exécutent Exchange.
L’équipe a aussi indiqué que le système d’application avait été conçu pour alerter les administrateurs sur les vulnérabilités de leur environnement en matière de sécurité. Le système protège également les destinataires d’Exchange Online contre d’éventuels messages malveillants. Ces messages ont été envoyés à partir de serveurs Exchange toujours vulnérables.
Pour certains administrateurs, cette mesure garantira que les e-mails envoyés depuis les serveurs vulnérables de leur environnement vers les boîtes aux lettres Exchange Online ne seront pas bloqués automatiquement. En outre, il est probable qu’une autre mesure incitative viendra s’ajouter aux efforts déployés pour garantir la protection des utilisateurs finaux contre toute attaque potentielle.
Microsoft avertit les utilisateurs de serveurs Exchange sur site
Cette annonce fait suite à un appel à l’action lancée en janvier. À l’époque, Microsoft avait invité ses clients à s’assurer que leurs serveurs Exchange sur site étaient à jour. L’évolution est survenue après l’application des mises à jour cumulatives pour garantir qu’ils seront prêts lorsqu’une mise à jour de sécurité d’urgence se produira.
Microsoft a par ailleurs invité les administrateurs à appliquer les derniers correctifs de sécurité sur les serveurs Exchange lorsque cela s’avère nécessaire. Cela se fera après la publication de mises à jour de sécurité hors bande qui corrigeront les vulnérabilités de ProxyLogon qui ont été exploitées dans des attaques qui se sont produites des mois avant la publication du correctif officiel.
Récemment, Microsoft a publié un correctif pour un autre ensemble de bugs Exchange RCE, ProxyNotShell. Ce correctif a été mis en œuvre deux mois après que l’exploitation a été détectée pour la première fois dans la nature.
Il existe encore un grand nombre de serveurs Exchange exposés à Internet. Des milliers de ces serveurs attendent d’être sécurisés contre les attaques qui les ciblent avec les exploits ProxyLogon et ProxyShell, deux des vulnérabilités les plus exploitées en 2021.
