Les premiers rançongiciels exploitant les failles Microsoft Exchange ont été diffusés. Il existe encore plus de 125 000 systèmes vulnérables dans le monde.
C’est une situation que l’on redoutait ces derniers jours et qui est désormais une réalité : les fameuses failles dans les serveurs Microsoft Exchange ne sont plus uniquement utilisées par des groupes de cyberespionnage, mais aussi pour diffuser des ransomwares.
Microsoft a confirmé qu’un premier spécimen du genre, baptisé « DearCry », s’est infiltré dans des réseaux d’entreprises par le biais de serveurs Exchange non patchés. La bonne nouvelle, si l’on peut dire, c’est que Microsoft Defender est d’ores et déjà capable de détecter et bloquer cette nouvelle menace.
L’arrivée du premier ransomware n’était qu’une question de temps. Quand des failles aussi importantes que celles de Microsoft Exchange sont patchées, les pirates se ruent sur la mise à jour pour l’analyser et développer un code malveillant par rétro-ingénierie le plus rapidement possible, afin de pouvoir cibler les systèmes qui n’ont pas encore été mis à jour.
D’ailleurs, même les chercheurs en sécurité ont commencé à publier des analyses techniques détaillées, comme la société Praetorian.
Polémique sur une preuve de concept
Mercredi dernier, un chercheur en sécurité vietnamien a également publié sur GitHub un premier code expérimental qui exploite les failles Exchange, ce que Microsoft n’a pas du tout apprécié.
L’éditeur a obtenu la suppression de ce code, ce qui a suscité une vive polémique au sein de la communauté de chercheurs en sécurité. Ces derniers sont habitués à échanger ouvertement des exploits dès lors qu’un patch est disponible.
« C’est énorme, supprimer sur GitHub le code d’un chercheur en sécurité (…) pour un système qui a déjà été patché. Ce n’est pas bon », estime le hacker Dave Kennedy, sur Twitter.
Mais Microsoft a estimé que le risque était encore trop grand, au regard du nombre de serveurs vulnérables. La société Palo Alto Networks estime ainsi qu’il existe encore plus de 125 000 systèmes vulnérables dans le monde.
Dans ces conditions, « diffuser un code de prise de contrôle à distance prêt à l’emploi n’est pas de la recherche en sécurité, c’est irresponsable et stupide », estime le chercheur en sécurité Marcus Hutchins, alias MalwareTech.
Quoiqu’il en soit, cette discussion n’arrêtera pas les malfrats. Les administrateurs ont intérêt à colmater le plus vite possible leurs serveurs Exchange.
source : 01net