Gestion de crise : Tentatives de brute-force et attaques par phishing sur le serveur Exchange
Sommaire
1. Contexte et problème initial
Suite à la multiplication des verrouillages de comptes utilisateurs, un examen approfondi a été entrepris pour identifier l'origine de ces incidents.
Après analyse des logs du contrôleur de domaine, il a été constaté qu'une série de tentatives de brute-force répétées étaient à l'origine de ces verrouillages.
Ces tentatives se faisaient principalement via le port 25 (SMTP), ce qui a révélé des tentatives ciblées d'accès non autorisé.
Cette situation a non seulement entraîné une perturbation des services d'authentification, mais a également mis en lumière des vulnérabilités au sein de l'infrastructure, compromettant ainsi la sécurité globale des comptes utilisateurs.
2. Mesures prises pour gérer la crise
• Analyse et détection des tentatives de brute-force :
Les premières investigations ont permis d'identifier une corrélation entre les tentatives échouées de connexion sur le port 25 et les événements de verrouillage des comptes. En réponse, une solution de détection d'intrusion a été mise en place pour limiter l'impact immédiat.
• Mise en place d'une règle de filtrage sur le pare-feu Windows du serveur Exchange :
Une règle a été créée pour bloquer l'accès au serveur Exchange par le port 25 en fonction des adresses IP source détectées dans les logs de tentative de brute-force. Lorsqu'une alerte ID4740 apparaissait dans les logs (indiquant une tentative de connexion échouée), l'adresse IP concernée était automatiquement ajoutée à une règle de pare-feu, la mettant ainsi en blacklist. Cela a permis de limiter immédiatement les tentatives d'accès non autorisées et de rétablir la stabilité des comptes utilisateurs.
• Automatisation et contrôle renforcé :
Une tâche planifiée a été créée pour automatiser cette procédure, réduisant ainsi la charge manuelle et garantissant une réponse rapide en cas de nouvelles tentatives d'attaque. Cette automatisation a eu pour effet de sécuriser de manière proactive les points d'accès et de résoudre le problème de verrouillage des comptes.
3. Actions complémentaires mises en place pour renforcer la sécurité
• Filtrage IP par réputation et géolocalisation :
Afin de renforcer la sécurité à un niveau plus global, le pare-feu du routeur a été configuré pour effectuer un filtrage des adresses IP par réputation et géolocalisation. Cela a permis de bloquer automatiquement l'accès provenant de zones géographiques à risque ou d'adresses IP suspectes, réduisant ainsi la surface d'attaque.
• Renforcement de la sécurité sur le serveur Exchange :
Les connecteurs de réception ont été reconfigurés pour n'accepter que des connexions authentifiées via TLS (Transport Layer Security). Cela a ajouté une couche de sécurité supplémentaire en exigeant que les communications SMTP soient chiffrées.
Les plages d'IP autorisées à se connecter au serveur Exchange ont été restreintes afin d'empêcher les connexions non autorisées en dehors de ces plages définies.
• Révision des comptes utilisateurs et renouvellement des mots de passe :
Une revue complète des comptes utilisateurs a été effectuée pour vérifier les comptes suspects et non conformes. De plus, un processus de renouvellement des mots de passe a été initié pour les utilisateurs afin de minimiser les risques liés à des mots de passe compromis.
4. Évolution et nouvelles menaces
Après la mise en place de ces premières mesures de défense, de nouvelles attaques ont émergé sous forme de phishing. Ces attaques ont été ciblées via des campagnes de mails frauduleux, en tentant de récupérer des informations sensibles auprès des utilisateurs. Face à cette nouvelle menace, des actions supplémentaires ont été entreprises.
• Déploiement d'une solution antispam avancée :
Afin de bloquer les tentatives de phishing dès leur arrivée, une solution antispam a été mise en place en amont du serveur Exchange. Cette solution permet de filtrer efficacement les emails suspects et de les rediriger vers les quarantaines ou de les bloquer avant qu'ils n'atteignent les utilisateurs.
• Configuration des enregistrements SPF, DKIM et DMARC :
Pour renforcer la sécurité de nos communications par email et prévenir les attaques par phishing, plusieurs protocoles ont été configurés au niveau du domaine pour valider l'authenticité des emails entrants et sortants. Ces protocoles, à savoir SPF, DKIM, et DMARC, jouent un rôle crucial dans la lutte contre la falsification d'adresses email et la manipulation des messages.
• Modification du port SMTP :
Pour éviter d’éventuelles attaques ciblant spécifiquement le port 25, ce dernier a été désactivé et remplacé par le port 2525 pour les connexions SMTP. Cela a permis de diminuer les risques d'attaque par des scanners automatiques cherchant à exploiter le port standard de la messagerie.
5. Conclusion
La gestion de cette crise a impliqué une série de mesures techniques et organisationnelles visant à contenir l'attaque initiale de brute-force et à renforcer la sécurité de l’infrastructure à long terme. Grâce à l'implémentation de solutions automatisées, d'un filtrage géolocalisé des IP et du renforcement des connecteurs SMTP, nous avons pu sécuriser efficacement les points d'accès critiques.
De plus, les attaques par phishing ont été mitigées par l’ajout d’une solution antispam et la modification du port SMTP. Ces actions combinées ont permis de restaurer rapidement la sécurité et la disponibilité des services, tout en réduisant le risque de futures intrusions. La situation est désormais sous contrôle, mais des audits réguliers et une vigilance continue sont nécessaires pour maintenir un haut niveau de sécurité.