Le 2 mars 2021, des vulnérabilités de type « zero-day » affectant Microsoft Exchange ont été rendues publiques. Ces vulnérabilités sont actuellement activement exploitées par HAFNIUM, un acteur malveillant soupçonné d’être un État-nation. Selon une alerte de la CISA (Cybersecurity & Infrastructure Security Agency) américaine :
« Microsoft a publié des mises à jour de sécurité hors bande pour remédier aux vulnérabilités affectant Microsoft Exchange Server 2013, 2016 et 2019. Un attaquant distant peut exploiter trois vulnérabilités d’exécution de code à distance (CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065) pour prendre le contrôle d’un système affecté et peut exploiter une vulnérabilité (CVE-2021-26855) pour obtenir l’accès à des informations sensibles. Ces vulnérabilités sont actuellement activement exploitées. »
La CISA a publié une directive d’urgence invitant les organisations à corriger leurs serveurs Exchange sur site tout en effectuant les analyses de sécurité associées pour voir si des attaquants sont présents dans les systèmes.
Que doivent faire les clients Sophos ?
L’équipe Sophos MTR a publié un guide étape par étape sur la manière de rechercher des signes de compromission sur le réseau d’un client.
La bonne nouvelle est que les clients Sophos MTR, Réseau et Endpoint disposent de multiples protections contre l’exploitation des nouvelles vulnérabilités.
Un article a été publié sur Sophos News, qui passe en revue un grand nombre de ces protections :
- Les signatures AV connexes qui ont bloqué HAFNIUM, et des conseils sur ce qu’il faut faire si elles ont été déclenchées
- Des requêtes que les clients Sophos EDR peuvent lancer pour identifier des shells web potentiels à examiner
- Des signatures IPS pour les clients Sophos Firewall
De nombreux avis de sécurité ont déjà été envoyés aux clients de Sophos MTR, soulignant le problème et les actions prises par l’équipe MTR pour assurer la protection des clients.
Sophos Managed Threat Response (MTR) et Rapid Response
Ces derniers jours, les organisations nous ont demandé plus d’informations sur les services Sophos pouvant valider le fait qu’elles aient été exposées à la menace. Sophos MTR Advanced est la solution idéale pour se protéger contre les attaques avancées telles que HAFNIUM.
Les clients MTR existants peuvent garder l’esprit tranquille sachant que Sophos MTR a immédiatement recherché toute activité connexe dans leurs réseaux.
Si un client non MTR soupçonne qu’il fait face à une attaque, nous lui recommandons de contacter l’équipe Sophos Rapid Response immédiatement.