CERTFR-2022-ALE-008
Vulnerability from certfr_alerte
[Mise à jour du 09 novembre 2022] L'éditeur a publié un correctif (cf. section solution).
En date du 29 septembre 2022, Microsoft a indiqué l'existence de deux vulnérabilités, de type zéro-jour, au sein de Windows Exchange 2013, 2016 et 2019.
Ces vulnérabilités sont les suivantes :
- CVE-2022-41040 : Vulnérabilité de type injection de requêtes forgées côté serveur (Server Side Request Forgery, SSRF) exploitable par un attaquant authentifié ;
- CVE-2022-41082 : Vulnérabilité permettant à un attaquant authentifié d'exécuter du code arbitraire à distance.
Dans le cadre d'une attaque, la CVE-2022-41040 peut permettre à un attaquant d'exploiter à distance la CVE-2022-41082. Selon l'éditeur, ces deux vulnérabilités ne sont exploitables que si l'attaquant est déjà authentifié. Un correctif spécifique est en cours de développement par Microsoft.
Ces vulnérabilités doivent faire l'objet d'une prise en compte immédiate, car elles ont été utilisées dans le cadre d'attaques ciblées. Le CERT-FR n'a pour le moment pas connaissance des conditions ayant permis aux attaquants d'obtenir un accès authentifié sur les serveurs ciblés.
Le CERT-FR a connaissance de codes d'exploitation publics pour la CVE-2022-41040.
Le CERT-FR a connaissance d'incidents en France impliquant l'exploitation de ces vulnérabilités.
Contournement provisoire
En attendant la publication des correctifs, le CERT-FR recommande d'appliquer immédiatement les mesures d'atténuation proposées par Microsoft [1].
L'éditeur recommande fortement de désactiver l’accès à PowerShell à distance pour les utilisateurs non administrateurs [3]. Le CERT-FR recommande l'application de cette contre-mesure car il s'agit de la protection la plus efficace identifiée à ce jour. Il conviendra de tester la configuration afin d'identifier les éventuels effets de bord sur les procédures automatisées basées sur Powershell.
Par ailleurs, et de façon complémentaire, Microsoft a publié un code PowerShell permettant d'appliquer les mesures d'atténuation pour la CVE-2022-41040 (réécriture de l'URL) [2]. De plus, une mise à jour de l'outil EEMS (Exchange Emergency Mitigation Service), ainsi que des éléments pour l'outil AMSI (AntiMalware Scan Interface) ont été proposés par Microsoft.
Le code PowerShell de Microsoft permettant d'appliquer la mesure
d'atténuation via le module URL Rewrite a été mis à jour pour
renforcer son efficacité contre des variations de la requête
malveillante initialement observée [2]. Afin d'appliquer cette
modification, il est nécessaire de télécharger puis relancer ce nouveau
code ou modifier directement la règle dans le module URL Rewrite avec
la valeur suivante : ".*autodiscover\.json.*Powershell.*".
Afin de prévenir tout type de coutournement de la règle
".*autodiscover\.json.*Powershell.*" par le biais d'encodage, le
CERT-FR rappelle qu'il faut modifier la condition d'entrée de la règle
susmentionnée avec la valeur suivante : {UrlDecode:{REQUEST_URI}}.
Pour plus d'informations, veuillez-vous référer à l'étape 10 du blog de
Microsoft [1].
Le Microsoft Patch Tuesday du 11 octobre 2022 ne propose aucun correctif pour ces vulnérabilités. Il est essentiel de maintenir l'application des contournements mentionnés ci-avant.
Détection
Le billet de blogue de l'éditeur documente quelques éléments d'aide à la détection de ces vulnérabilités [1].
Le CERT-FR recommande de réaliser une analyse approfondie des journaux réseau des serveurs IIS (sauvegardés par défaut dans le dossier : %SystemDrive%\inetpub\logs\LogFiles). Les commandes suivantes permettent d'identifier une exploitation de la vulnérabilité CVE-2022-41040 :
- sur un système Windows :
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern '/powershell.*autodiscover.json.*200'; - sur un système Linux :
cat <Path_IIS_Logs>/*.log | grep -i -e '/powershell.*autodiscover.json.*200'.
Si une répartition de charge (load-balancing) est mise en œuvre, ces
commandes doivent être appliquées sur les journaux de chacun des nœuds.
Il est possible d'identifier une exploitation réussie de la
CVE-2022-41040 si, à la suite de la première requête, une seconde
requête HTTP de type POST commençant par le motif : /PowerShell a
été exécutée par le serveur. Dans ce cas là, une analyse forensique des
serveurs Exchange doit être engagée.
En cas de suspicion de compromission, les bons réflexes en cas d'intrusion sur votre système d'information sont rappelés ici.
Solution
[Mise à jour du 09 novembre 2022] Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation [4]).
| Title | Publication Time | Tags | |
|---|---|---|---|
|
|
|||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Microsoft Exchange Serveur 2013 toutes versions",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Exchange Serveur 2016 toutes versions",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Exchange Serveur 2019 toutes versions",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": "",
"closed_at": "2023-03-14",
"content": "\n## Contournement provisoire\n\nEn attendant la publication des correctifs, le CERT-FR recommande\nd\u0027appliquer imm\u00e9diatement les mesures d\u0027att\u00e9nuation propos\u00e9es par\nMicrosoft \\[1\\].\n\nL\u0027\u00e9diteur recommande fortement de d\u00e9sactiver l\u2019acc\u00e8s \u00e0 PowerShell \u00e0\ndistance pour les utilisateurs non administrateurs \\[3\\]. **Le CERT-FR\nrecommande l\u0027application de cette contre-mesure** car il s\u0027agit de la\nprotection \u003cu\u003ela plus efficace\u003c/u\u003e identifi\u00e9e \u00e0 ce jour. Il conviendra\nde tester la configuration afin d\u0027identifier les \u00e9ventuels effets de\nbord sur les proc\u00e9dures automatis\u00e9es bas\u00e9es sur Powershell.\n\nPar ailleurs, et de fa\u00e7on compl\u00e9mentaire, Microsoft a publi\u00e9 un code\nPowerShell permettant d\u0027appliquer les mesures d\u0027att\u00e9nuation pour la\nCVE-2022-41040 (r\u00e9\u00e9criture de l\u0027URL) \\[2\\]. De plus, une mise \u00e0 jour de\nl\u0027outil *EEMS* (*Exchange Emergency Mitigation Service*), ainsi que des\n\u00e9l\u00e9ments pour l\u0027outil *AMSI* (*AntiMalware Scan Interface*) ont \u00e9t\u00e9\npropos\u00e9s par Microsoft.\n\nLe code PowerShell de Microsoft permettant d\u0027appliquer la mesure\nd\u0027att\u00e9nuation *via* le module *URL Rewrite* a \u00e9t\u00e9 mis \u00e0 jour pour\nrenforcer son efficacit\u00e9 contre des variations de la requ\u00eate\nmalveillante initialement observ\u00e9e \\[2\\]. Afin d\u0027appliquer cette\nmodification, il est n\u00e9cessaire de t\u00e9l\u00e9charger puis relancer ce nouveau\ncode ou modifier directement la r\u00e8gle dans le module *URL Rewrite* avec\nla valeur suivante : \"`.*autodiscover\\.json.*Powershell.*`\".\n\nAfin de pr\u00e9venir tout type de coutournement de la r\u00e8gle\n\"`.*autodiscover\\.json.*Powershell.*`\" par le biais d\u0027encodage, le\nCERT-FR rappelle qu\u0027il faut modifier la condition d\u0027entr\u00e9e de la r\u00e8gle\nsusmentionn\u00e9e avec la valeur suivante :\u00a0 `{UrlDecode:{REQUEST_URI}}`.\nPour plus d\u0027informations, veuillez-vous r\u00e9f\u00e9rer \u00e0 l\u0027\u00e9tape 10 du blog de\nMicrosoft \\[1\\].\n\nLe *Microsoft Patch Tuesday* du 11 octobre 2022 ne propose \u003cu\u003eaucun\ncorrectif\u003c/u\u003e pour ces vuln\u00e9rabilit\u00e9s. Il est essentiel de maintenir\nl\u0027application des contournements mentionn\u00e9s ci-avant.\n\n## D\u00e9tection\n\nLe billet de blogue de l\u0027\u00e9diteur documente quelques \u00e9l\u00e9ments d\u0027aide \u00e0 la\nd\u00e9tection de ces vuln\u00e9rabilit\u00e9s \\[1\\].\n\nLe CERT-FR recommande de r\u00e9aliser une analyse approfondie des journaux\nr\u00e9seau des serveurs IIS (sauvegard\u00e9s par d\u00e9faut dans le dossier :\n%SystemDrive%\\\\inetpub\\\\logs\\\\LogFiles). Les commandes suivantes\npermettent d\u0027identifier une exploitation de la vuln\u00e9rabilit\u00e9\nCVE-2022-41040\u00a0 :\n\n- sur un syst\u00e8me Windows :\n `Get-ChildItem -Recurse -Path \u003cPath_IIS_Logs\u003e -Filter \"*.log\" | Select-String -Pattern \u0027/powershell.*autodiscover.json.*200\u0027`;\n- sur un syst\u00e8me Linux :\n `cat \u003cPath_IIS_Logs\u003e/*.log | grep -i -e \u0027/powershell.*autodiscover.json.*200\u0027`.\n\nSi une r\u00e9partition de charge (*load-balancing*) est mise en \u0153uvre, ces\ncommandes doivent \u00eatre appliqu\u00e9es sur les journaux de chacun des n\u0153uds.\nIl est possible d\u0027identifier une exploitation r\u00e9ussie de la\nCVE-2022-41040 si, \u00e0 la suite de la premi\u00e8re requ\u00eate, une seconde\nrequ\u00eate *HTTP* de type POST commen\u00e7ant par le motif : `/PowerShell` a\n\u00e9t\u00e9 ex\u00e9cut\u00e9e par le serveur. Dans ce cas l\u00e0, une analyse forensique des\nserveurs Exchange doit \u00eatre engag\u00e9e.\n\nEn cas de suspicion de compromission, les bons r\u00e9flexes en cas\nd\u0027intrusion sur votre syst\u00e8me d\u0027information sont rappel\u00e9s\n[ici](/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/).\n\n## Solution\n\n\u003cspan style=\"color: #ff0000;\"\u003e\\[Mise \u00e0 jour du 09 novembre 2022\\]\n\u003c/span\u003eSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour\nl\u0027obtention des correctifs (cf. section Documentation \\[4\\]).\n",
"cves": [
{
"name": "CVE-2022-41040",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-41040"
},
{
"name": "CVE-2022-41082",
"url": "https://www.cve.org/CVERecord?id=CVE-2022-41082"
}
],
"initial_release_date": "2022-09-30T00:00:00",
"last_revision_date": "2023-03-14T00:00:00",
"links": [
{
"title": "[mise \u00e0 jour] Avis CERTFR-2022-AVI-876 du 03 octobre 2022",
"url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-876/"
},
{
"title": "[1] Billet de blog Microsoft du 29 septembre 2022",
"url": "https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/"
},
{
"title": "[2] Code powershell appliquant les mesures d\u0027att\u00e9nuation",
"url": "https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/"
},
{
"title": "[3] Documentation du contr\u00f4le d\u0027acc\u00e8s PowerShell \u00e0 distance",
"url": "https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps\u0026viewFallbackFrom=exchange-ps%22%20%5Cl%20%22use-the-exchange-management-shell-to-enable-or-disable-remote-powershell-access-for-a-user"
},
{
"title": "Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
"url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
},
{
"title": "[4] Avis Microsoft du 08 novembre 2022",
"url": "https://support.microsoft.com/fr-fr/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-november-8-2022-kb5019758-2b3b039b-68b9-4f35-9064-6b286f495b1d"
}
],
"reference": "CERTFR-2022-ALE-008",
"revisions": [
{
"description": "Version initiale",
"revision_date": "2022-09-30T00:00:00.000000"
},
{
"description": "Mise \u00e0 jour suite \u00e0 l\u0027identification de codes d\u0027exploitation",
"revision_date": "2022-10-03T00:00:00.000000"
},
{
"description": "Recommandation concernant les contournements",
"revision_date": "2022-10-04T00:00:00.000000"
},
{
"description": "Ajout d\u0027\u00e9l\u00e9ments de d\u00e9tection pour la CVE-2022-41040",
"revision_date": "2022-10-05T00:00:00.000000"
},
{
"description": "Ajout d\u0027\u00e9l\u00e9ments afin d\u0027\u00e9viter les contournements li\u00e9s \u00e0 l\u0027encodage",
"revision_date": "2022-10-07T00:00:00.000000"
},
{
"description": "Identification d\u0027incidents li\u00e9s \u00e0 l\u0027exploitation de cette vuln\u00e9rabilit\u00e9.",
"revision_date": "2022-10-07T00:00:00.000000"
},
{
"description": "Clarification concernant les codes d\u0027exploitation",
"revision_date": "2022-10-11T00:00:00.000000"
},
{
"description": "le Patch Tuesday ne propose aucun correctif. Maintenir les contournements en place.",
"revision_date": "2022-10-12T00:00:00.000000"
},
{
"description": "Publication du correctif dans le cadre du Patch Tuesday du 08 novembre 2022",
"revision_date": "2022-11-09T00:00:00.000000"
},
{
"description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
"revision_date": "2023-03-14T00:00:00.000000"
}
],
"risks": [
{
"description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
}
],
"summary": "\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\\[Mise \u00e0 jour du 09 novembre 2022\\]\u003c/strong\u003e\n\u003c/span\u003eL\u0027\u00e9diteur a publi\u00e9 un correctif (cf. section solution).\n\nEn date du 29 septembre 2022, Microsoft a indiqu\u00e9 l\u0027existence de deux\nvuln\u00e9rabilit\u00e9s, de type z\u00e9ro-jour, au sein de Windows Exchange 2013,\n2016 et 2019.\n\nCes vuln\u00e9rabilit\u00e9s sont les suivantes :\n\n- CVE-2022-41040 : Vuln\u00e9rabilit\u00e9 de type injection de requ\u00eates forg\u00e9es\n c\u00f4t\u00e9 serveur (*Server Side Request Forgery, SSRF*) exploitable par\n un attaquant authentifi\u00e9 ;\n- CVE-2022-41082 : Vuln\u00e9rabilit\u00e9 permettant \u00e0 un attaquant authentifi\u00e9\n d\u0027ex\u00e9cuter du code arbitraire \u00e0 distance.\n\nDans le cadre d\u0027une attaque, la CVE-2022-41040 peut permettre \u00e0 un\nattaquant d\u0027exploiter \u00e0 distance la CVE-2022-41082. Selon l\u0027\u00e9diteur, ces\ndeux vuln\u00e9rabilit\u00e9s ne sont exploitables que si l\u0027attaquant est d\u00e9j\u00e0\n\u003cstrong\u003eauthentifi\u00e9\u003c/strong\u003e. Un correctif sp\u00e9cifique est en cours de d\u00e9veloppement\npar Microsoft.\n\nCes vuln\u00e9rabilit\u00e9s doivent faire l\u0027objet d\u0027une prise en compte\nimm\u00e9diate, car elles ont \u00e9t\u00e9 utilis\u00e9es dans le cadre d\u0027attaques cibl\u00e9es.\nLe CERT-FR n\u0027a pour le moment pas connaissance des conditions ayant\npermis aux attaquants d\u0027obtenir un acc\u00e8s authentifi\u00e9 sur les serveurs\ncibl\u00e9s.\n\nLe CERT-FR a connaissance de codes d\u0027exploitation publics pour la\nCVE-2022-41040.\n\n\u003cspan style=\"color: #000000;\"\u003e\u003cspan\nclass=\"mx_MTextBody mx_EventTile_content\"\u003e\u003cspan\nclass=\"mx_EventTile_body\" dir=\"auto\"\u003eLe CERT-FR a connaissance\nd\u0027incidents en France impliquant l\u0027exploitation de ces\nvuln\u00e9rabilit\u00e9s.\u003c/span\u003e\u003c/span\u003e\u003c/span\u003e\n",
"title": "[MaJ] Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Exchange",
"vendor_advisories": [
{
"published_at": "2022-09-29",
"title": "Bulletin de s\u00e9curit\u00e9 Microsoft",
"url": "https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/"
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.