Le FBI a supprimé les portes dérobées des pirates des serveurs Microsoft Exchange vulnérables. Tout le monde n'aime pas l'idée – Bien monter son serveur

La semaine dernière, le ministère américain de la Justice a révélé comment le FBI avait travaillé pour supprimer les enveloppes malveillantes de centaines d'ordinateurs aux États-Unis exécutant des versions vulnérables de Microsoft Exchange Server. Bien que cette décision ait aidé à sécuriser de nombreuses organisations, elle a également soulevé des questions sur l'orientation de la cybersécurité.

Plus tôt cette année, quatre vulnérabilités zero-day dans Microsoft Exchange Server, qui ont été activement exploitées par le piratage national, ont été découvertes. Microsoft a publié une mise à jour de sécurité critique pour protéger les clients Exchange Server contre les vulnérabilités exploitant les vulnérabilités en mars, mais un nombre important d'organisations n'ont pas encore appliqué la mise à jour de sécurité.

Cela les rend vulnérables aux cyberattaques par un certain nombre d'attaquants en ligne, y compris des groupes d'États-nations, des gangs de ransomwares, des cryptojackers et d'autres cybercriminels qui se sont précipités pour exploiter les vulnérabilités d'Exchange.

VOIR: Cyber ​​sécurité: soyons tactiques (Fonction spéciale ZDNet / TechRepublic) | Téléchargez la version PDF gratuite (TechRepublic)

Les attaquants exploitent les vulnérabilités pour placer des escroqueries – des scripts et des codes qui permettent des droits d'administration à distance – qui permettent un accès par porte dérobée non autorisé pour le cyberespionnage et d'autres activités malveillantes. Ce sont ces échelles que le FBI a lancé une opération de suppression.

Des centaines de coquilles de filet illimitées ont été identifiées et supprimées de centaines de systèmes – à un tel point que le ministère de la Justice affirme avoir complètement supprimé les coquilles de filet restantes d'un groupe de piratage.

"Cette opération est un exemple de l'engagement du FBI à lutter contre les cybermenaces grâce à notre partenariat durable dans les secteurs fédéral et privé", a déclaré Tonya Ugoretz, directrice adjointe par intérim du département cyber du FBI.

"Notre action réussie doit servir de rappel aux cyberacteurs malveillants que nous allons imposer des risques et des conséquences aux cyber-intrusions qui menacent la sécurité nationale et la sécurité publique du peuple américain et de nos partenaires internationaux", a-t-elle ajouté.

Des mesures ont été prises en raison de la menace posée aux organisations par les coquillages. Le FBI dit qu'ils essaient d'informer toutes les organisations dont ils ont retiré les moules, ce qui signifie que l'agence a eu accès aux systèmes à leur insu.

Bien que l'intention était bonne – en bref, aider à protéger les entreprises en supprimant l'accès aux cyber-attaquants, et autorisée par les tribunaux – c'est une étape importante de l'application de la loi.

"L'effort du FBI est de donner au FBI l'accès à des serveurs privés. Seulement cela devrait être un arrêt complet du fait que l'action n'est pas OK", a déclaré David Brumley, professeur de génie électrique et informatique à l'Université Carnegie Mellon et co-fondateur et PDG de ForAllSecure, une société de cybersécurité.

"Même si je comprends la bonne intention – le FBI veut supprimer la porte dérobée – cela crée un dangereux précédent où les autorités policières reçoivent une large autorisation d'accéder à des serveurs privés."

Dans ce cas, l'accès aux réseaux a été jugé approprié par les tribunaux pour supprimer les portes dérobées plantées par des pirates malveillants et pour protéger les organisations contre les cyberattaques – mais Brumley craint ce qu'il a décrit comme une «pente glissante».

"Nous ne voulons pas d'un avenir où le FBI décide que quelqu'un peut être vulnérable, puis l'utilise comme prétexte pour y avoir accès. Rappelez-vous: le FBI a à la fois une mission de police et de renseignement. Ce serait la même chose qu'un policier. Pensez que votre porte n'est pas verrouillée, puis utilisez-la comme prétexte pour entrer », dit-il.

Mais il y a aussi ceux qui pensent que les actions du FBI pour entrer dans les réseaux et retirer les crustacés des serveurs Microsoft Exchange compromis étaient la bonne chose à faire, en particulier lorsque les organisations mènent une cyber-bataille contre des attaquants qui ont beaucoup plus de ressources qu'eux.

"Je pense que cet engagement du FBI est considéré comme étant très apprécié par le secteur privé lorsqu'il s'agit de se protéger contre les assauts de l'État-nation. En ce moment, c'est comme si le secteur privé combattait ces attaques de l'État-nation avec une main attachée derrière. dans le dos, surtout lorsque nos adversaires ne portent aucun coup », a déclaré Troy Gill, chasseur de menaces et chef de la société de sécurité Zix.

"Nous continuerons de voir plus d'autorités impliquées dans la réduction des vulnérabilités."

D'autres agences de sécurité aident les organisations à sécuriser leurs réseaux contre les vulnérabilités de Microsoft Exchange, mais pas en accédant au réseau sans que personne ne le sache au préalable. Par exemple, le National Cyber ​​Security Center (NCSC) du Royaume-Uni a aidé à supprimer les logiciels malveillants Exchange zero-days de plus de 2300 ordinateurs Windows.

Cela a été fait en partenariat avec les organisations concernées; et le NCSC n'a pas le pouvoir de mettre en réseau des entreprises privées pour corriger les vulnérabilités.

Le NCSC travaille également activement avec les organisations pour les aider à appliquer les mises à jour de sécurité nécessaires pour protéger leur réseau contre les cyberattaques. Et bien que le FBI ait supprimé le shell malveillant, il n'a pas corrigé les vulnérabilités zero-day de Microsoft Exchange Server ni supprimé les outils de piratage ou de logiciels malveillants supplémentaires qui auraient pu être placés sur le réseau par des attaquants.

Cela signifie que tant qu'elles n'ont pas utilisé les mises à jour ou enquêté sur le réseau pour une activité potentiellement suspecte, les entreprises qui ont retiré le shell des réseaux sont toujours vulnérables à de nouvelles attaques – et surtout si elles ne savent toujours pas que le FBI est entré dans le réseau. pour enlever les coquilles de filet en premier lieu.

VOIR: Consignes de sécurité réseau (TechRepublic Premium)

«L'initiative du FBI visant à supprimer le code shell des serveurs Microsoft Exchange compromis peut être considérée comme une étape importante dans la lutte contre la cybercriminalité. Bien que cette opération supprime l'accès des attaquants à ces serveurs vulnérables, elle n'améliore pas immédiatement leur sécurité», explique Bob Botezatu, directeur de la recherche sur les menaces et du reporting dans Bitdefender.

"La suppression du shell n'affecte pas le fonctionnement des logiciels malveillants supplémentaires qui peuvent avoir été implantés sur le serveur après une compromission, ni ne résout le problème racine, permettant aux attaquants d'exploiter facilement le serveur vulnérable et d'accéder au shell."

Un avis conjoint du FBI et de CISA (Cybersecurity & Infrastructure Security Agency) a encouragé les organisations à utiliser les mises à jour de sécurité appropriées et d'autres procédures pour protéger leurs réseaux contre les attaques – mais jusqu'à ce que les mises à jour soient appliquées, les serveurs resteront vulnérables aux cyberattaques.

Ainsi, bien qu'ils aient pénétré dans les réseaux avec l'autorisation des tribunaux, permettant au FBI d'éliminer la menace immédiate de cyberintimidation, de nombreuses organisations peuvent toujours ne pas savoir si leur réseau a initialement eu accès au FBI. Le débat entre la cybersécurité, les droits d'accès, la confidentialité et la question de savoir si c'était la bonne chose à faire pour protéger les organisations vulnérables contre les cyberattaques continuera de gronder.

"Certaines personnes peuvent être très inquiètes à ce sujet et estiment qu'un dangereux précédent a été créé. Les autorités devraient-elles vraiment avoir accès aux systèmes de données d'entreprise et les manipuler, même si les raisons en sont apparemment altruistes?" dit Brett Callow, analyste des menaces et Emsisoft.

"Cela dit, l'action a sans aucun doute évité des dommages, sans que plusieurs organisations aient presque certainement été compromises davantage. C'est vraiment l'un de ces cas où vous pouvez comprendre pourquoi quelque chose a été fait et voir les avantages de le faire, tout en vous demandant si cela devrait ont été faites », ajoute-t-il.

Que cela ait dû être fait ou non, l'incident crée un précédent – et le FBI peut à nouveau prendre des mesures similaires.

"Le FBI continuera à utiliser tous les outils disponibles tels que la principale force de police nationale et l'agence de renseignement pour tenir les cyberacteurs malveillants responsables de leurs actes", a déclaré le directeur adjoint par intérim Ugoretz.

Microsoft a été contacté pour commenter, mais un porte-parole a déclaré que la société n'avait rien à ajouter.

EN SAVOIR PLUS SUR LA CYBER-SÉCURITÉ