En janvier 2021, plusieurs cyberattaques mondiales ont ciblé des vulnérabilités dans les versions 2010, 2013, 2016 et 2019 de Microsoft Exchange Server. La vulnérabilité Exchange Server ProxyLogon permet aux attaquants de lire les e-mails d'un serveur Exchange physique, sur site, sans authentification. Qui plus est, elle offre une voie d'accès à des attaques à plusieurs étapes qui peuvent compromettre complètement le serveur de messagerie de la victime en tirant parti de vulnérabilités supplémentaires.
Microsoft a publié des mises à jour le 2 mars 2021 pour corriger les vulnérabilités. Cependant, dix jours plus tard, l'entreprise a annoncé qu'un ransomware avait été déployé sur les serveurs initialement infectés. Le ransomware chiffrait les fichiers et les rendait inopérants jusqu'à ce que le paiement soit reçu. En fait, plusieurs organisations touchées par la vulnérabilité d'Exchange Server - comme ACER, Buffalo Public Schools et Molson Coors Beverage Company - signalent des attaques de ransomware REvil.
Naturellement, cette attaque très sophistiquée peut soulever des questions quant à savoir si la vulnérabilité d'Exchange Server pourrait finalement avoir un impact sur votre entreprise par le biais de ses vendeurs, fournisseurs et autres tiers.
Prevalent a dressé une liste de huit questions essentielles à poser à vos tiers afin d'évaluer leur réponse à cet incident. Utilisez le questionnaire non seulement pour savoir si un fournisseur a été touché par la vulnérabilité ProxyLogon, mais aussi pour révéler son impact potentiel sur les données de votre organisation.
Question | Réponses potentielles |
---|---|
1) L'organisation a-t-elle été touchée par la récente vulnérabilité de Microsoft Exchange ProxyLogon ? (Veuillez choisir une option) |
a) Oui, nous avons été touchés par la récente vulnérabilité de Microsoft Exchange ProxyLogon. b) Non, nous n'avons pas été touchés par la récente vulnérabilité de Microsoft Exchange ProxyLogon. c) L'organisation ne sait pas si elle a été touchée par la récente vulnérabilité de Microsoft Exchange ProxyLogon. |
2) L'organisation a-t-elle appliqué les correctifs récemment publiés par Microsoft aux systèmes concernés ? (Veuillez choisir une option) |
a) Oui, l'organisation a obtenu, testé et installé avec succès les correctifs publiés par Microsoft. b) Non, l'organisation n'a pas encore obtenu, testé et installé les correctifs publiés par Microsoft. c) L'organisation n'est pas en mesure d'installer les mises à jour fournies par Microsoft. |
3) Si l'organisation n'est pas en mesure d'installer les mises à jour recommandées, les mesures suivantes ont-elles été prises sur la base des mesures d'atténuation des vulnérabilités du serveur proposées par Microsoft ? (Veuillez sélectionner tous les éléments qui s'appliquent) |
a) Mettre en place une règle IIS Re-Write pour filtrer les requêtes https malveillantes. b) Désactiver la messagerie unifiée (UM). c) Désactiver le VDir d'Exchange Control Panel (ECP). d) Désactiver le carnet d'adresses hors ligne (OAB) VDir. e) L'organisation est incapable d'appliquer l'une des mesures d'atténuation recommandées par Microsoft. |
4) Si l'organisation ne parvient pas à installer les mises à jour recommandées ou à appliquer les mesures d'atténuation recommandées par Microsoft, les mesures suivantes ont-elles été prises ? (Veuillez sélectionner tous les éléments qui s'appliquent) |
a) Bloquer les connexions non fiables au port 443 du serveur Exchange. b) Lorsque des solutions d'accès à distance sécurisées sont déjà en place, configurer Exchange uniquement pour qu'il soit disponible à distance via cette solution. |
5) L'organisation a-t-elle procédé à une recherche proactive des systèmes pour trouver des preuves de compromission, conformément aux directives de Microsoft ? (Veuillez sélectionner tous les éléments qui s'appliquent) |
a) L'organisation utilise le document "Guidance for responders : Investigating and remediating on-premises Exchange Server vulnerabilities" pour aider aux activités de remédiation. b) L'organisation a installé l'outil EOMT (Microsoft Exchange On-premises Mitigation Tool) comme moyen d'identifier les systèmes pour des preuves de compromission. c) L'organisation a consulté le document consultatif TLP WHITE de la CISA et du FBI afin d'approfondir et d'atténuer les vulnérabilités. |
6) L'organisation a-t-elle mis en place un plan d'enquête et de réponse aux incidents ? (Veuillez sélectionner tous les éléments qui s'appliquent) |
a) L'organisation dispose d'une politique de gestion des incidents documentée. b) La politique de gestion des incidents comprend des règles pour signaler les événements et les faiblesses en matière de sécurité de l'information. c) Un plan de réponse aux incidents est élaboré dans le cadre de l'enquête et de la récupération des incidents. d) La planification de la réponse aux incidents comprend des procédures d'escalade vers les parties internes et des procédures de communication vers les clients. |
7) Qui est désigné comme point de contact pouvant répondre à des questions supplémentaires ? |
Nom : |
8) Quel est le niveau d'impact sur les systèmes et les données des clients suite à cette vulnérabilité ? (Veuillez choisir une option) |
a) Il n'y a eu aucun impact sur les systèmes ou les données des clients suite à cette vulnérabilité. b) Il y a eu un faible impact sur les systèmes ou les données des clients suite à cette vulnérabilité. c) Il y a un niveau élevé d'impact sur les systèmes ou les données du client suite à cette vulnérabilité. d) Cette vulnérabilité a eu un impact significatif sur les systèmes ou les données des clients. |
Évaluation de la vulnérabilité de Free Microsoft Exchange ProxyLogon
Téléchargez le PDF pour savoir comment vos vendeurs et fournisseurs ont réagi à la vulnérabilité ProxyLogon.
La vulnérabilité de Microsoft Exchange ProxyLogon est un rappel important que l'atténuation de l'impact des attaques ciblant vos tiers nécessite plusieurs couches de détection, à la fois proactives et réactives. Voici trois niveaux de couverture que nous considérons comme essentiels :
La mise en place d'une surveillance continue des divulgations de violations par des tiers, des mises à jour de l'actualité et des dépôts réglementaires et juridiques est une première étape importante, qui fournit des indicateurs qualitatifs de la possibilité d'une compromission. Cependant, le simple fait de surveiller les sites d'information, les messages sur les médias sociaux ou d'obtenir des mises à jour quotidiennes à partir d'un flux RSS ne vous permettra pas de quantifier ou d'analyser l'impact de ces annonces ni d'agir en conséquence. C'est pourquoi il est important de rechercher des informations qualitatives auprès d'un service centralisé qui inclut des centaines de milliers de sources publiques et privées et vous permet de relier les données dans un registre de risques unifié.
La recherche de vulnérabilités sur les sites Web publics des fournisseurs ne révélera qu'une petite partie des risques auxquels ils (et donc vous) sont exposés. Allez plus loin en surveillant les forums criminels, les pages oignons, les forums à accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que les communautés de sécurité, les dépôts de code et, enfin, les bases de données de vulnérabilités. Comme ci-dessus, cependant, il est trop complexe et trop long de surveiller cette activité par vous-même, même si elle est limitée à vos fournisseurs de premier plan. Centralisez plutôt cette activité dans un service unique qui surveille les informations de cybersécurité et peut déclencher automatiquement des mesures correctives en fonction des résultats.
SolarWinds, Accellion, et maintenant Microsoft Exchange. Les incidents de sécurité très médiatisés et les brèches dommageables ayant un impact sur des tiers sont en augmentation. Pourtant, de nombreuses organisations ont du mal à recevoir en temps utile des notifications d'impact de la part de leurs fournisseurs. Cela peut retarder l'identification et l'atténuation des risques et, en fin de compte, conduire à une exposition indésirable. Pourquoi ? Les approches existantes en matière de notification d'événements par les fournisseurs sont très manuelles, n'offrent pas aux tiers la possibilité de quantifier leur risque ou de fournir un contexte significatif à l'incident, et manquent de conseils de remédiation prescriptifs pour lancer le processus d'atténuation des risques.
Comment votre organisation peut-elle aider ses fournisseurs à accélérer le processus de notification des événements ? Évaluez vos fournisseurs à l'aide d'un questionnaire personnalisable qui est automatiquement déclenché par les événements, leur permet de soumettre des évaluations de manière proactive et offre des conseils de remédiation prescriptifs pour identifier et atténuer rapidement l'impact d'un incident de sécurité.
Rien de tout cela n'est possible en regardant des fils d'actualité ou en échangeant des feuilles de calcul par courriel. Les plates-formes d'évaluation centralisées automatis ent les tâches essentielles requises pour découvrir, quantifier et corriger rapidement les risques liés aux vulnérabilités des fournisseurs, sans surcharger votre équipe.
Assurez-vous de télécharger le PDF de l'évaluation de la vulnérabilité Microsoft Exchange Server ProxyLogon de tiers. Nous espérons que ce questionnaire vous donnera l'assurance que vos vendeurs et fournisseurs ont mis en œuvre les contrôles nécessaires pour remédier à cette vulnérabilité critique.
Étant donné que les cyberattaques ciblant cette vulnérabilité ont évolué pour inclure les ransomwares, assurez-vous de télécharger l'évaluation gratuite des ransomwares sur Prevalentafin d'identifier les lacunes immédiates qui pourraient avoir un impact sur la capacité de votre organisation à réagir à des menaces de ransomwares similaires.
Une fois la poussière retombée, n'oubliez pas que Prevalent offre une plateforme de gestion des risques de tiers qui comprend plus de 60 modèles de questionnaires destinés à vous aider à automatiser les tâches fastidieuses d'évaluation des fournisseurs, et à compléter les résultats par une surveillance continue de cyber et des violations. Contactez-nous dès aujourd'hui pour planifier une session stratégique.
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024
Utilisez ces 6 conseils pour améliorer vos procédures d'intervention en cas de violation par un tiers.
09/17/2024