Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) du Centre de la sécurité des télécommunications (CST) a publié une alerte sur l’exploitation active de vulnérabilités liées à Microsoft Exchange et recommande fortement aux organisations d’accorder la priorité aux serveurs Exchange externes et d’appliquer immédiatement les mises à jour nécessaires. L’accès à distance doit être temporairement désactivé sur tous les serveurs externes concernés jusqu’à ce que les correctifs puissent être appliqués. Les correctifs doivent être appliqués à tous les autres serveurs Exchange touchés dès que les serveurs externes de priorité plus élevée auront été corrigés.
Le CST est conscient des mises à jour de sécurité publiées par Microsoft le 2 mars 2021 visant à corriger des vulnérabilités du jour zéro qui auraient été exploitées dans le cadre de compromissions ciblées limitées. Le chercheur en sécurité Volexity a rapporté que l’activité semble avoir commencé dès le 6 janvier 2021.
La cybersécurité représente l’un des plus grands défis auxquels sont confrontés le Canada et ses alliés sur le plan de l’économie et de la sécurité nationale. Grâce aux efforts concertés du CST, de son Centre pour la cybersécurité et d’autres ministères et organismes, le gouvernement du Canada travaille activement à renforcer la sécurité du cyberespace pour nous tous.
Chaque jour, le gouvernement du Canada doit composer avec des cybermenaces et des risques pour la cybersécurité continus et persistants. Nous collaborons avec des partenaires gouvernementaux pour veiller à ce que des systèmes et des outils robustes soient mis en place afin de surveiller et de détecter les risques, d’enquêter sur ces derniers et de neutraliser les menaces lorsqu’elles se concrétisent. Bien que des systèmes de cyberdéfense robustes soient effectivement en place, le Centre pour la cybersécurité collabore activement avec ses partenaires gouvernementaux et non gouvernementaux afin de leur fournir des avis, des conseils, des mesures d’atténuation et des mises à jour opérationnelles en matière de cybersécurité.
Conseils
Pour réduire le risque d’une compromission initiale, il conviendra de renforcer les systèmes en restreignant les connexions non fiables, notamment en isolant les serveurs Exchange des connexions externes ou en utilisant un réseau privé virtuel (RPV). Microsoft signale que la mise en œuvre de ces mesures d’atténuation protégera les systèmes uniquement contre la partie initiale de la compromission; d’autres parties de la chaîne peuvent être déclenchées si un auteur malveillant a déjà accès aux systèmes ou s’il réussit à convaincre un administrateur d’exécuter un fichier malveillant.
Si une activité correspondant au contenu de cette alerte est détectée, les destinataires sont encouragés à contacter le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1 833 CYBER 88 ou 1 833 292 3788).
Nous tenons également à souligner l’importance de la mise en œuvre de pratiques exemplaires en matière de cyberdéfense. Il s’agit notamment d’accroître la surveillance des journaux réseau, de rappeler aux employés de faire preuve de vigilance s’ils reçoivent des courriels suspects, d’adopter des pratiques de télétravail axées sur la sécurité et de s’assurer que les correctifs liés à toutes les vulnérabilités de sécurité connues sont appliqués sur les serveurs et les systèmes essentiels.
Le Centre pour la cybersécurité continuera de diffuser des alertes et des bulletins de sécurité à nos partenaires de l’industrie, y compris les infrastructures essentielles, afin de les sensibiliser à des menaces comme celle ci. Nous comptons sur nos partenaires canadiens à l’échelle nationale, provinciale et régionale pour qu’ils transmettent à d’autres parties ces informations importantes concernant la cybersécurité, de manière à rejoindre le plus grand nombre d’intervenants possible au sein de la collectivité des TI.
Nous encourageons tous les Canadiens ainsi que toutes les organisations canadiennes à se tenir au courant des alertes et des bulletins du Centre pour la cybersécurité en consultant le site Web cyber.gc.ca, et à communiquer avec nous ou avec leur service de police local s’ils pensent avoir été victimes d’un cyberincident.