La cyberattaque du groupe chinois Hafnium contre Microsoft Exchange a fait de nombreuses victimes à travers le monde et notamment en France. Comme l’a indiqué l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), 15000 serveurs auraient été affectés sur l’ensemble du territoire. Même si, pour l’heure, l’ANSSI n’a pas encore dévoilé le nombre d’entreprises concernées par cette attaque, celle-ci a néanmoins mis en lumière les quatre failles qui ont permis le vol d’e-mails et l’implantation de webshells sur des serveurs Exchange locaux.
D’après le directeur de l’ANSSI, Guillaume Poupard, il n’y aurait « peu de victimes avérées » en France. Toutefois, un certain nombre de mesures importantes à court terme pour reconnaître et prévenir ce type d’attaque sont à mettre en œuvre impérativement ; à commencer par appliquer immédiatement tous les correctifs disponibles. Par ailleurs, les entreprises devraient toujours stocker les sauvegardes (récentes ou encore les archives) de leur serveur Exchange dans un environnement distinct, qu’il s’agisse d’un support de sauvegarde physique ou d’un stockage cloud. De cette façon, le responsable IT pourra complètement restaurer les serveurs de messagerie.
Dès lors, si une attaque a réussi ou que le système Exchange est de nouveau momentanément défaillant, les sauvegardes du système pourront fournir des indices importants sur les fichiers qui ont été récemment ajoutés ou modifiés, révélant ainsi une « empreinte » qu’aura laissé le hacker au sein du système.
Une stratégie à long terme est nécessaire
Si la France semble moins touchée que l’Allemagne ou les États-Unis, le nombre total de systèmes Exchange touchés reste particulièrement élevé. En effet, de nombreuses entreprises préfèrent gérer leurs emails et les données échangées localement depuis leur propre datacenter, plutôt que de migrer vers le cloud et le service Microsoft Office 365. Pour certains secteurs sensibles, des systèmes de stockage comme le cloud sont tout simplement prohibés pour des raisons évidentes de conformité et de sécurité.
« Les récentes vagues d’attaques ont souligné l’importance pour les entreprises de disposer d’une dernière ligne de défense en complément des solutions habituelles de sécurité et de patch management. Les nombreuses attaques perpétrées par le groupe malveillant chinois Hafnium a une fois de plus exploité des failles logicielles jusqu’alors inconnues », explique Jean-Pierre Boushira, Vice President South, Benelux & Nordics Region, Veritas Technologies. « Des vulnérabilités comme le « zero-day » ouvrent des portes dérobées sur les systèmes de production critiques qui contournent toutes les mesures de défense. Une sauvegarde de ces systèmes destinée à conserver l’intégrité des données, constituera cette dernière ligne de défense et permettra aux entreprises de récupérer de manière fiable leurs données essentielles à la reprise de leurs activités et à se relever d’une attaque. »
Dans le cas de Microsoft Exchange, il est également judicieux de coupler un système d’archivage adapté au serveur de messagerie. Ce système d’archivage de mail donne une vision approximative à un instant-T des données grâce à des logs. De ce fait, il crée un important faussé de contenus (air gap) entre le système attaqué et les données, que les malwares ou ransomwares ne peuvent pas combler aussi facilement. Bien que cette mesure ne protège pas nécessairement des attaques, l’avantage pour les entreprises est qu’elles pourront mettre en lieu sûr et de façon immuable toutes les données importantes dans un système annexe. Car aujourd’hui, la question n’est plus de savoir si une entreprise sera attaquée, mais quand et comment. En cas d’attaque, la panique et la pression empêchent bien souvent de prendre des mesures calmes et réfléchies. Toutefois, ce type de défense et le rétablissement des fonctionnalités sont des actes de premiers secours pour l’entreprise et son activité. Sachant que les données se trouvent en toute sécurité sur un deuxième et un troisième lieu de stockage, ces mesures peuvent être prises plus rapidement, à moindre coût et – si nécessaire – plus fermement.
Pour plus d’informations : https://www.veritas.com/fr/fr/protection/ransomware-solutions