« L’attaque Zero-day contre les serveurs Microsoft Exchange a clairement touché beaucoup plus d’entreprises que ce qui a été rapporté à ce jour. Il faudra peut-être plusieurs mois, voire des années, pour connaître le bilan réel des dégâts.

C’était l’une des craintes et il n’aura donc pas fallu beaucoup de temps pour que des attaquants opérateurs de ransomware s’engouffrent dans la brèche. Le ransomware Dearcry semble tirer parti de la vulnérabilité ProxyLogon Exchange (on-premise) qui permet à des attaquants externes non authentifiés de se connecter à des serveurs Exchange exposés sur Internet.

Les attaques précédemment observées exploitant cette vulnérabilité avaient pour objectif de voler des informations sur la messagerie, de servir de point de départ à l’exploitation d’autres vulnérabilités Exchange puis à une élévation de privilèges, ou de faciliter de nouvelles intrusions dans les réseaux d’entreprise.

L’attaque Dearcry est beaucoup moins sophistiquée et moins directe - il semble s’agir d’une tentative d’attaque de type « smash-and-grab » (envoi à un grand nombre de cibles, sans ciblage précis) visant à soutirer de l’argent aux entreprises qui ont dû mal à réaliser la mise à jour (patching) de leurs serveurs Exchange.

Le meilleur conseil à adresser aux entreprises ayant pu être concernées par le piratage des serveurs Exchange (pas que Dearcry) est de faire rapidement le point sur leur environnement – pour savoir au plus vite où se trouvent leurs serveurs et leurs comptes Exchange, et identifier soigneusement toutes les instances d’Exchange qui peuvent encore être actives. Puis évidemment d’appliquer les correctifs.

Malheureusement, cela ne pas réglera pas tous les problèmes. En effet, l’exploitation du zero-day a peut-être permis aux attaquants de pénétrer le réseau ou d’avoir installé un moyen pour pénétrer plus tard.

Pour être complet, il faut donc trouver et supprimer les web shells et autres IoCs laissés sur les serveurs qui pourraient permettre une pénétration ultérieure. »