Faille de sécurité Microsoft Exchange: plus de 400 systèmes informatiques belges infiltrés

Le Centre pour la cybersécurité Belgique a pu détecter plus de 400 systèmes informatiques belges infiltrés dans le cadre d'une vulnérabilité des serveurs Microsoft Exchange, a-t-il annoncé mercredi.

Dimanche, il avait déjà mis en garde contre un éventuel "tsunami de cyberattaques" qui pourrait survenir dans les semaines à venir. Microsoft a annoncé début mars avoir identifié une faille de sécurité dans Exchange, qui permettrait aux cybercriminels d'accéder à l'ensemble du réseau d'une entreprise ou d'une organisation. Des mises à jour permettent de corriger le problème, mais les utilisateurs doivent les installer eux-mêmes.

"À partir des listes de serveurs vulnérables, nous avons pu détecter plus de 400 systèmes où une forme d'intrusion s'est produite. Cela signifie que des parties malveillantes ont pénétré dans ces systèmes et attendent maintenant de passer à l'action", précise le Centre pour la cybersecurité Belgique, qui craint que des organisations et des entreprises soient victimes de ransomware (rançongiciel) ou que des données soient volées dans les jours et les semaines à venir.

Beaucoup de serveurs vulnérables ont été mis à jour, mais plus de 1.000 systèmes sont encore vulnérables, selon le centre.

Concrètement, les cybercriminels installent des "web shells", qui leur donnent un accès et un contrôle à distance via un serveur en ligne. "Cela leur permet de garder une ligne de communication ouverte, pour ainsi dire, afin de lancer une attaque ultérieurement. Dans les listes que nous avons examinées, nous avons trouvé au moins 400 serveurs avec un web shell installé. Dans d'autres cas, les pirates peuvent avoir installé d'autres logiciels malveillants, en plus des web shells en question, afin de monter une attaque à une date ultérieure, par exemple un ransomware", explique le Centre pour la cybersécurité dans un communiqué.

Quant aux entreprises qui ont effectué les mises à jour, elles doivent rester vigilantes et continuer à surveiller leurs systèmes, des traces pouvant encore être laissées entre l'intrusion et les mises à jour.

Les entreprises et les organisations qui utilisent Exchange Online avec une configuration hybride ou un serveur Exchange sur site pour les applications administratives doivent immédiatement mettre à jour les systèmes, retirer les web shells, vérifier ce qui est arrivé et détecter toute activité suspecte, recommande encore le Centre pour la cybersécurité Belgique.