Via une mise à jour pour Microsoft Defender Antivirus et System Center Endpoint Protection, Microsoft a mis en œuvre une mesure d'atténuation automatique ayant pour but de réduire les dommages et risques associés avec la vulnérabilité de sécurité répertoriée en tant que CVE-2021-26855.

Derrière cette référence CVE se cache l'une des quatre failles exploitées pour attaquer des serveurs de messagerie Exchange en version 2013, 2016 et 2019, à savoir CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065.

Ces vulnérabilités sont utilisées dans le cadre d'une chaîne d'attaque avec pour cible des entreprises et organismes ayant recours à Exchange Server sur site. Des exploits autrement qualifiés de ProxyLongon (Exchange Proxy Architecture et mécanisme Logon).

Une alerte avait été donnée pour des exploits 0day et une attaque opérée par un groupe Hafnium, notamment pour le déploiement de web shell sur des serveurs compromis et du cyberespionnage. Il existe depuis des correctifs idoines, mais les exploits ont aussi fait des émules parmi d'autres attaquants.

Casser la chaîne d'attaque avec le vecteur inititial

En s'appuyant sur Microsoft Defender Antivirus et en visant la faille CVE-2021-26855, Microsoft explique vouloir " casser la chaîne d'attaque sur n'importe quel serveur Exchange vulnérable. " Pour autant, la mesure d'atténuation est provisoire. Il est essentiellement question de gagner du temps avant l'application des mises à jour de sécurité correctrices.

Microsoft-Defender-Antivirus-cve-2021-26855
Si Microsoft Defender Antivirus n'est pas une solution utilisée et toujours pour la solution d'atténuation provisoire, Microsoft aiguille vers un script Exchange On-premises Mitigation Tool pour faire barrage à des modifications effectuées par un attaquant.

En collaboration avec RiskIQ, Microsoft estime que le nombre de serveurs Exchange vulnérables à des attaques est passé sous la barre des 30 000 ce week-end.