| 🎯 Vulnérabilités principales | 💻 Produits concernés | ⚠️ Risques majeurs | ✅ Actions urgentes |
|---|---|---|---|
| CVE-2021-26855 : Falsification de requête côté serveur CVE-2021-26857 : Désérialisation non sécurisée CVE-2021-26858/27065 : Écriture de fichier arbitraire |
Exchange Server 2010, 2013, 2016, 2019 Windows 10/11 Windows Server 2008-2025 Office 2016-2024 Microsoft 365 Apps |
Prise de contrôle totale des serveurs Vol de données confidentielles et emails Attaques par rançongiciel (DearCry) Espionnage industriel Déploiement de web shells |
Installer les mises à jour cumulatives (CU 23, CU 19, CU 8) Appliquer les correctifs de sécurité Déconnecter les serveurs non corrigés Vérifier avec Test-ProxyLogon.ps1 Contacter le Centre canadien pour la cybersécurité si compromis |
Les vulnérabilités critiques des produits Microsoft représentent des failles de sécurité majeures présentes dans les systèmes d’exploitation Windows, les serveurs Exchange et les logiciels de la suite Office. Ces brèches permettent à des cybercriminels d’accéder à distance à vos équipements, d’espionner vos données confidentielles et même de prendre complètement le contrôle de vos systèmes informatiques.
Depuis janvier 2021, Microsoft fait face à une série de cyberattaques massives exploitant des failles zero-day dans Exchange Server. Des groupes de hackers utilisent ces vulnérabilités pour déployer des rançongiciels, voler des informations sensibles et compromettre des milliers d’organisations à travers le monde, y compris au Canada.
Les principales vulnérabilités Microsoft Exchange découvertes récemment
En mars 2021, Microsoft a publié des correctifs d’urgence pour quatre vulnérabilités critiques affectant Exchange Server. Ces failles ont été activement exploitées par des acteurs malveillants avant même que les correctifs ne soient disponibles.
La vulnérabilité CVE-2021-26855 constitue une faille de falsification de requête côté serveur permettant aux pirates d’envoyer des requêtes HTTP arbitraires et de s’authentifier en tant que serveur Exchange sans identifiants. Cette technique d’exploitation ne nécessite aucune authentification et peut être réalisée simplement en accédant au serveur Exchange externe via HTTPS.
CVE-2021-26857 représente une vulnérabilité de désérialisation non sécurisée dans le service de messagerie unifiée. Une fois exploitée, elle permet aux hackers d’exécuter du code malveillant avec les privilèges SYSTÈME sur le serveur.
Les vulnérabilités CVE-2021-26858 et CVE-2021-27065 sont des failles d’écriture de fichier arbitraire post-authentification. Elles permettent aux attaquants d’écrire des fichiers malveillants n’importe où sur le serveur une fois qu’ils se sont authentifiés.
Les versions de Microsoft Exchange concernées par ces failles
Plusieurs versions des produits Microsoft sont vulnérables à ces attaques. Les systèmes suivants nécessitent une attention immédiate:
- Microsoft Exchange Server 2013 – nécessite la mise à jour cumulative CU 23
- Microsoft Exchange Server 2016 – nécessite la CU 19 ou CU 18
- Microsoft Exchange Server 2019 – nécessite la CU 8 ou CU 7
- Microsoft Exchange Server 2010 – nécessite le Service Pack 3
Au-delà d’Exchange, d’autres produits Microsoft sont également touchés par des vulnérabilités critiques identifiées en janvier 2025:
- Windows 10 et Windows 11
- Windows Server 2008, 2012, 2016, 2019, 2022 et 2025
- Microsoft Office 2016, 2019, 2021 et 2024
- Microsoft Outlook pour Windows et Mac
- Microsoft 365 Apps
Comment les cybercriminels exploitent ces vulnérabilités
Les attaquants utilisent des méthodes sophistiquées pour compromettre les systèmes vulnérables. L’exploitation commence généralement par une reconnaissance active où les hackers balayent Internet à l’aide d’outils automatisés pour identifier les serveurs Exchange non corrigés.
Une fois qu’un serveur vulnérable est identifié, les pirates exploitent la vulnérabilité de falsification de requête côté serveur pour obtenir un accès initial. Cette technique leur permet de contourner l’authentification et d’accéder aux systèmes comme s’ils étaient le serveur lui-même.
Après avoir pénétré dans le système, les attaquants déploient des web shells – des scripts malveillants qui leur donnent un contrôle permanent sur le serveur compromis. Ces outils leur permettent d’exfiltrer des données confidentielles, de voler des emails et de préparer des attaques plus sophistiquées.
La famille de rançongiciel DearCry a été observée exploitant ces vulnérabilités Exchange pour chiffrer les données des victimes et exiger des rançons. De multiples preuves de concept disponibles publiquement ont facilité l’exploitation de ces failles par des cybercriminels moins expérimentés.
Les risques concrets pour votre organisation
L’exploitation de ces vulnérabilités expose votre organisation à des conséquences dévastatrices. Le premier risque concerne la prise de contrôle totale de vos serveurs Exchange et de vos systèmes Windows.
Le vol de données constitue une menace majeure. Les attaquants peuvent accéder à l’ensemble de vos communications par email, incluant des informations confidentielles sur vos clients, vos stratégies commerciales et vos données financières.
Les attaques par rançongiciel représentent un danger imminent. Les cybercriminels peuvent chiffrer l’ensemble de vos données et paralyser vos opérations pendant des jours, voire des semaines. Les coûts associés incluent non seulement la rançon potentielle, mais également les pertes d’exploitation et les frais de remédiation.
L’espionnage industriel constitue également un risque sérieux. Des groupes de hackers parrainés par des États exploitent ces vulnérabilités pour voler des secrets commerciaux et de la propriété intellectuelle.
Comment détecter si vos systèmes ont été compromis
Microsoft et plusieurs chercheurs en sécurité ont publié des indicateurs de compromission permettant d’identifier si vos systèmes ont été attaqués. La détection précoce est cruciale pour limiter les dégâts.
Microsoft propose plusieurs scripts de détection gratuits. Le script Test-ProxyLogon.ps1 analyse les fichiers journaux Exchange pour identifier les traces d’exploitation des quatre vulnérabilités principales.
L’outil d’atténuation pour Exchange local constitue la méthode la plus efficace pour vérifier rapidement l’état de sécurité de vos serveurs Exchange. Cet outil vérifie automatiquement la présence d’indicateurs de compromission.
Vous devriez rechercher les signes suivants dans vos systèmes:
- Présence de fichiers web shells suspects dans les répertoires Exchange
- Connexions inhabituelles depuis des adresses IP étrangères
- Activité anormale dans les journaux d’événements Windows
- Fichiers malveillants dans les chemins système critiques
- Modifications non autorisées des configurations Exchange
Le Centre canadien pour la cybersécurité a reçu de nombreux rapports concernant des systèmes compromis au Canada. Ces compromissions ont souvent commencé dès janvier 2021, bien avant que les vulnérabilités ne soient publiquement divulguées.
Les mesures urgentes à prendre immédiatement
Si vous exploitez des serveurs Exchange ou des systèmes Windows, vous devez agir sans délai. La première priorité consiste à identifier tous les serveurs Exchange externes exposés sur Internet.
Pour les serveurs externes non corrigés, vous devez prendre les mesures suivantes immédiatement:
- Déconnecter le serveur de l’interface externe sans attendre
- Suivre les directives de Microsoft pour détecter une compromission
- Vérifier l’absence d’activité malveillante avant d’appliquer les correctifs
- Installer les mises à jour cumulatives requises
- Appliquer les correctifs de sécurité appropriés
L’accès à distance doit être temporairement désactivé sur tous les serveurs concernés jusqu’à ce que les correctifs soient appliqués. Cette mesure bloque l’exploitation initiale des vulnérabilités.
Microsoft a publié des techniques d’atténuation temporaires pour les organisations nécessitant plus de temps avant d’appliquer les correctifs complets. Ces mesures incluent l’application de règles de réécriture IIS et la désactivation de certains services Exchange.
Cependant, ces atténuations temporaires ne remplacent pas l’application des correctifs et ne protègent pas complètement contre toutes les méthodes d’exploitation possibles. Elles constituent uniquement une solution de transition.
Procédure détaillée d’application des correctifs Microsoft
L’application des correctifs nécessite une approche méthodique et planifiée. Avant d’installer les mises à jour de sécurité, vous devez d’abord installer les versions et mises à jour cumulatives appropriées.
Pour Exchange Server 2013, installez d’abord la mise à jour cumulative CU 23. Pour Exchange Server 2016, vous aurez besoin de la CU 19 ou CU 18. Exchange Server 2019 requiert la CU 8 ou CU 7 avant l’application des correctifs de sécurité.
Toutes les mises à jour doivent être exécutées en mode administrateur. Microsoft indique que plusieurs redémarrages peuvent être nécessaires après l’installation. Planifiez ces interventions pendant les périodes de faible activité pour minimiser l’impact sur vos opérations.
Après avoir appliqué les correctifs de mars 2021, vous devez également installer les mises à jour de sécurité d’avril 2021. Ces correctifs adressent des vulnérabilités supplémentaires distinctes des failles initiales.
Les vulnérabilités d’avril 2021 incluent:
- CVE-2021-28480 – exécution de code à distance
- CVE-2021-28481 – exécution de code à distance
- CVE-2021-28482 – exécution de code à distance
- CVE-2021-28483 – exécution de code à distance
Ne remettez pas vos serveurs en service avant d’avoir confirmé qu’aucune activité malveillante n’a été détectée et que toutes les mises à jour ont été correctement installées.
Les bonnes pratiques pour protéger vos systèmes Microsoft
Au-delà de l’application des correctifs, plusieurs mesures préventives renforcent la sécurité de vos infrastructures Microsoft. La gestion rigoureuse des mises à jour constitue la première ligne de défense.
Mettez en place un processus automatisé de surveillance des bulletins de sécurité Microsoft. Abonnez-vous aux alertes du Centre canadien pour la cybersécurité et consultez régulièrement les avis de sécurité.
Restreignez l’accès externe à vos serveurs Exchange. Utilisez un réseau privé virtuel pour les connexions à distance et isolez les serveurs Exchange des connexions Internet directes lorsque c’est possible.
Implémentez une segmentation réseau appropriée. Les serveurs critiques comme Exchange ne devraient pas être directement accessibles depuis Internet sans couches de protection supplémentaires comme des pare-feu applicatifs web.
Surveillez activement vos journaux système. Les solutions SIEM peuvent détecter les comportements anormaux indiquant une tentative d’exploitation. Configurez des alertes pour les activités suspectes.
Maintenez des sauvegardes régulières et testées de vos systèmes critiques. En cas de compromission par rançongiciel, des sauvegardes fiables permettent la restauration rapide sans payer de rançon.
Formez vos équipes IT aux bonnes pratiques de sécurité. La sensibilisation du personnel technique réduit les risques d’erreurs de configuration qui pourraient exposer vos systèmes.
Les ressources et outils disponibles pour vous assister
De nombreuses organisations proposent des ressources gratuites pour vous aider à sécuriser vos environnements Microsoft. Le Centre canadien pour la cybersécurité offre une assistance directe par courriel et téléphone.
Microsoft a publié plusieurs outils essentiels sur son dépôt GitHub CSS-Exchange Security. Ces scripts automatisent la détection des compromissions et l’application des mesures d’atténuation.
Le script NMAP http-vuln-cve2021-26855.nse permet de scanner vos serveurs pour déterminer s’ils sont vulnérables à la principale faille de falsification de requête. Cet outil s’intègre facilement dans vos processus de scan de sécurité existants.
La Cybersecurity and Infrastructure Security Agency américaine a publié des rapports détaillés d’analyse de maliciels observés dans ces campagnes. Ces rapports incluent des indicateurs techniques précis pour la détection.
Microsoft maintient un flux actualisé d’indicateurs de compromission disponibles aux formats CSV et JSON. Ces listes incluent les hachages de fichiers malveillants et les chemins d’accès suspects observés.
Pour les organisations nécessitant une assistance professionnelle, Cybermalveillance.gouv.fr référence des prestataires certifiés capables d’intervenir rapidement en cas d’incident de sécurité.
Le rapport de recherche conjoint publié par les agences de cybersécurité d’Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis fournit des approches techniques détaillées pour détecter et contrer ces menaces.
Que faire si vous découvrez une compromission
Si vous détectez des signes de compromission sur vos systèmes, une réponse rapide et coordonnée est essentielle. Ne paniquez pas, mais agissez méthodiquement pour contenir la menace.
Isolez immédiatement les systèmes compromis du réseau pour empêcher la propagation latérale des attaquants. Déconnectez physiquement les serveurs affectés si nécessaire.
Préservez les preuves numériques. Ne supprimez pas les fichiers suspects et ne redémarrez pas les systèmes avant d’avoir collecté les journaux et les artefacts forensiques. Ces éléments seront cruciaux pour l’analyse.
Contactez votre équipe de réponse aux incidents ou un prestataire spécialisé en cybersécurité. Les experts peuvent effectuer une analyse forensique approfondie pour déterminer l’étendue de la compromission.
Notifiez les autorités compétentes. Au Canada, contactez le Centre pour la cybersécurité par courriel ou téléphone. En France, signalez l’incident sur la plateforme Cybermalveillance.gouv.fr.
Documentez tous les détails de l’incident: chronologie des événements, systèmes affectés, données potentiellement compromises et actions entreprises. Cette documentation sera nécessaire pour les rapports réglementaires et les assurances.
Changez tous les mots de passe et révocquez les sessions actives une fois que vous avez confirmé l’éradication de la menace. Les attaquants ont pu voler des identifiants d’authentification pendant la compromission.
Effectuez une analyse complète de tous les systèmes connectés au réseau, même ceux qui ne semblent pas directement affectés. Les attaquants déploient souvent des backdoors sur plusieurs systèmes pour maintenir l’accès.
L’évolution continue des menaces contre les produits Microsoft
Les vulnérabilités des produits Microsoft ne constituent pas un problème ponctuel mais une menace évolutive permanente. Les cybercriminels développent constamment de nouvelles techniques d’exploitation pour les failles récemment divulguées.
Depuis les premières attaques de mars 2021, de nouvelles vulnérabilités critiques ont été découvertes régulièrement. En janvier 2025, Microsoft a encore corrigé plusieurs failles permettant l’exécution de code à distance dans Windows, Office et Outlook.
Les groupes de hackers parrainés par des États continuent de cibler activement les infrastructures Microsoft Exchange. Le groupe HAFNIUM, identifié dans les attaques initiales, reste une menace persistante pour les organisations gouvernementales et les entreprises.
La disponibilité publique de preuves de concept d’exploitation facilite les attaques même pour des cybercriminels peu expérimentés. Ces outils permettent l’automatisation des compromissions à grande échelle.
Le Centre pour la cybersécurité observe une accélération des activités de balayage recherchant des serveurs vulnérables. Les attaquants exploitent désormais les nouvelles vulnérabilités quelques heures seulement après leur divulgation publique.
Cette réalité impose une vigilance constante. Les organisations doivent maintenir une veille sécurité active, appliquer rapidement les correctifs et surveiller continuellement leurs systèmes pour détecter les compromissions. La cybersécurité n’est plus une option mais une nécessité absolue pour protéger vos opérations, vos données et votre réputation dans un environnement de menaces en constante évolution.
