CERTFR-2021-ALE-004
Vulnerability from certfr_alerte

[version du 16 mars 2021]

le 15 mars 2021, Microsoft a publié un nouvel outil dont le but annoncé est d'aider leurs clients à se protéger de l'exploitation de la vulnérabilité CVE-2021-26855 affectant les serveurs de courrier Exchange en attendant l'application des mises à jour (https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/).

Les détails de cet outil sont développés dans la section "Contournement provisoire".

Le CERT-FR souhaite cependant insister sur plusieurs points:

  • Cet outil ne protège que contre une exploitation future de la vulnérabilité CVE-2021-26855, en attendant l'application de la mise à jour fournie le 2 mars 2021 ;
  • Les vulnérabilités ayant été exploitées avant la publication des correctifs, puis de façon massive, tous les serveurs Exchange doivent être considérés comme compromis. L'utilisation de cet outil ne remplace pas l'étape de recherche de compromission (voir les recommandations de cette alerte) ;
  • De plus en plus de codes d'exploitation sont publiquement disponibles. L'outil de Microsoft tente d'annuler certaines modifications malveillantes réalisées lors de l'exploitation de la vulnérabilité CVE-2021-26855, mais cela ne fonctionne que pour une partie des codes d'exploitation connus.

[version du 9 mars 2021]

Le CERT-FR recommande fortement de toujours maintenir les serveurs Exchange dans une version maintenue par l'éditeur, notamment en appliquant les derniers Cumulative Updates (CU). Cependant, étant donné l'urgence de la situation, dans le cas où l'application d'un CU ne peut pas se faire immédiatement, l'éditeur a publié un correctif pour les anciens CU des versions Exchange 2016 et 2019 [8].

Note importante : Le CERT-FR insiste sur l'importance de bien suivre les recommandations de l'éditeur pour l'application des correctifs : en particulier, en cas d'installation manuelle du fichier .msp, il est obligatoire d'avoir les droits administrateur au moment de son installation.

[version du 8 mars 2021]

Microsoft a publié un code [5] permettant de vérifier la présence des indicateurs de compromission (IoCs) liés au mode opératoire Hafnium. Un détail de l'utilisation de ce code est disponible dans la section "scan Exchange log files" de l’article "HAFNIUM targeting Exchange Servers with 0-day exploits" [1].

A défaut d'appliquer le correctif immédiatement, des mesures de contournement provisoires ont été proposées par l'éditeur pour les versions 2013, 2016 et 2019 des serveurs Exchange [6]. Cependant, contrairement aux correctifs, ces mesures ont un impact sur les fonctionnalités des serveurs Exchange et ne garantissent pas une protection complète contre ces vulnérabilités.

De plus, dans le cas où l'application du correctif n'est pas immédiate, le CISA recommande de restreindre les accès externes des plateformes Exchange exposées en appliquant les mesures suivantes  [7] :

  • Bloquer les connections non vérifiées qui peuvent accéder aux serveurs Exchange sur le port 443, ou mettre en place un VPN afin qu'il ne soit plus directement exposé sur Internet ;
  • Restreindre les accès externes :
    • À l'url OWA : /owa/ ;
    • À l'url Exchange Admin Center (EAC) aka Exchange Control Panel (ECP) : /ecp/

Microsoft met en avant la forte augmentation de l'exploitation de ces quatre vulnérabilités par des attaquants. Le CERT-FR rappelle donc le motif urgent de la mise en place des correctifs de sécurité, ou au moins la restriction des accès à la plateforme ainsi que la mise en place des mesures de contournement le temps d'appliquer ces correctifs.

[version initiale]

Le 2 mars 2021, Microsoft a publié des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero day) affectant les serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019.

Ces vulnérabilités permettent à un attaquant de réaliser une exécution de code arbitraire à distance, permettant d’obtenir in fine les droits de l’administrateur de domaine Active Directory.

  • CVE-2021-26855 : vulnérabilité côté serveur de type SSRF permettant à l‘attaquant non authentifié d’envoyer des requêtes HTTP arbitraires qui seront exécutées sous l’identité du serveur Exchange.
  • CVE-2021-27065 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.
  • CVE-2021-26857 : vulnérabilité basée sur une faiblesse de la désérialisation dans le service de messagerie unifiée (Unified Messaging). Cette vulnérabilité permet à l’attaquant de pouvoir exécuter du code arbitraire à distance avec les privilèges SYSTEM sur le serveur Exchange. L’exploitation de cette vulnérabilité demande les droits administrateurs (ou l’exploitation d’une autre vulnérabilité).
  • CVE-2021-26858 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.

L’éditeur indique que ces vulnérabilités ont été exploitées dans des attaques ciblées qu'il attribue à un groupe d’attaquants appelé Hafnium [1]. En complément, les chercheurs de Volexity indiquent avoir détecté des premières attaques dès janvier 2021 [4].

Au vu de la criticité de ces vulnérabilités, l’ANSSI recommande fortement de réaliser les actions suivantes :

  • déconnecter immédiatement les serveurs Exchange qui seraient exposés sur Internet sans protection le temps d’appliquer les correctifs ;
  • appliquer immédiatement les correctifs de sécurité fournis par l’éditeur sur l’ensemble des serveurs Exchange exposés sur Internet puis en interne ;
  • procéder à l’analyse des serveurs Exchange afin d’identifier une possible compromission à l’aide des indicateurs de compromission publiés par l’éditeur [1] et de Volexity [4]. Une première étape consistera notamment à effectuer une recherche d'antécédents dans les logs des serveurs web de Outlook Web Access afin de déceler d'éventuelles requêtes de type POST vers /owa/auth/Current/themes/resources/ ;
  • en cas de compromission, de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.

Enfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne devraient pas être exposés sans protection sur Internet. Il est fortement recommandé d’appliquer les bonnes pratiques publiées par l’ANSSI pour le nomadisme [3].

Contournement provisoire

[version du 16 mars 2021]

L' outil Exchange On-premises Mitigation Tool (EOMT) fourni par Microsoft le 15 mars 2021 a trois fonctions :

  • chercher à empêcher les exploitations connues de la vulnérabilité CVE-2021-26855 affectant les serveurs Exchange ;
  • rechercher sur le système des traces connues d'exploitation grâce au Microsoft Safety Scanner ;
  • tenter de remédier aux compromissions par certaines méthodes connues ayant été révélées par le Microsoft Safety Scanner.

Microsoft insiste sur le fait que l'utilisation de ce script ne dispense pas de l'installation de la mise à jour et que cet outil ne protège que contre les menaces connues.

Microsoft précise que cet outil a été testé sur les versions 2013, 2016 et 2019 d'Exchange Server [9].

Solution

Pour rappel, seuls les deux derniers Cumulative Update (CU) des serveurs Exchange en version 2013, 2016 et 2019 sont maintenus à jour et reçoivent les correctifs de sécurité.

Des correctifs de sécurité sont donc disponibles pour :

  • Exchange Server 2013 CU 23
  • Exchange Server 2016 CU 19 et CU 18
  • Exchange Server 2019 CU 8 et CU 7
  • Exchange Server 2010 SP3 Rollup 30

Pour des versions antérieures, il faut appliquer les Cumulative Update ou les Rollup pour Exchange 2010 en amont de l’application du correctif. Microsoft a publié une procédure accompagnée d’une Foire Aux Questions [2].

La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.

  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Les solutions Exchange Online ne sont pas affectées par les vulnérabilités.

Impacted products
Vendor Product Description
References
Bulletin de sécurité Microsoft 2021-03-02 vendor-advisory
[2] - other
[9] - other
Présentation de l'outil Microsoft EOMT du 15 mars 2021 - other
Avis CERT-FR du 03 mars 2021 - other
[8] - other
GitHub Microsoft CSS-Exchange - other
[4] - other
[3] - other
[7] - other
[5] - other
[6] - other
[1] - other

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cul\u003e \u003cli\u003eMicrosoft Exchange Server 2010\u003c/li\u003e \u003cli\u003eMicrosoft Exchange Server 2013\u003c/li\u003e \u003cli\u003eMicrosoft Exchange Server 2016\u003c/li\u003e \u003cli\u003eMicrosoft Exchange Server 2019\u003c/li\u003e \u003c/ul\u003e \u003cp\u003eLes solutions Exchange Online ne sont pas affect\u00e9es par les vuln\u00e9rabilit\u00e9s.\u003c/p\u003e ",
  "closed_at": "2021-07-16",
  "content": "## Contournement provisoire\n\n**\\[version du 16 mars 2021\\]**\n\nL\u0027 outil\u00a0*Exchange On-premises Mitigation Tool* (EOMT) fourni par\nMicrosoft le 15 mars 2021 a trois fonctions :\n\n-   chercher \u00e0 emp\u00eacher les exploitations connues de la\n    vuln\u00e9rabilit\u00e9\u00a0CVE-2021-26855 affectant les serveurs Exchange ;\n-   rechercher sur le syst\u00e8me des traces connues d\u0027exploitation gr\u00e2ce\n    au\u00a0*Microsoft Safety Scanner* ;\n-   tenter de rem\u00e9dier aux compromissions par certaines m\u00e9thodes connues\n    ayant \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es par le\u00a0*Microsoft Safety Scanner*.\n\nMicrosoft insiste sur le fait que l\u0027utilisation de ce script ne dispense\npas de l\u0027installation de la mise \u00e0 jour et que cet outil ne prot\u00e8ge que\ncontre les menaces connues.\n\nMicrosoft pr\u00e9cise que cet outil a \u00e9t\u00e9 test\u00e9 sur les versions\u00a02013, 2016\net 2019 d\u0027Exchange Server \\[9\\].\n\n## Solution\n\n**Pour rappel**, seuls les deux derniers Cumulative Update (CU) des\nserveurs Exchange en version 2013, 2016 et 2019 sont maintenus \u00e0 jour et\nre\u00e7oivent les correctifs de s\u00e9curit\u00e9.\n\nDes correctifs de s\u00e9curit\u00e9 sont donc disponibles pour :\n\n-   Exchange Server 2013 CU 23\n-   Exchange Server 2016 CU 19 et CU 18\n-   Exchange Server 2019 CU 8 et CU 7\n-   Exchange Server 2010 SP3 Rollup 30\n\nPour des versions ant\u00e9rieures, il faut appliquer les Cumulative Update\nou les Rollup pour Exchange 2010 en amont de l\u2019application du correctif.\nMicrosoft a publi\u00e9 une proc\u00e9dure accompagn\u00e9e d\u2019une Foire Aux Questions\n\\[2\\].\n\n------------------------------------------------------------------------\n\nLa mise \u00e0 jour d\u0027un produit ou d\u0027un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommander\nd\u0027effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l\u0027application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n",
  "cves": [
    {
      "name": "CVE-2021-26858",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-26858"
    },
    {
      "name": "CVE-2021-27078",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-27078"
    },
    {
      "name": "CVE-2021-26857",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-26857"
    },
    {
      "name": "CVE-2021-26855",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-26855"
    },
    {
      "name": "CVE-2021-27065",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-27065"
    },
    {
      "name": "CVE-2021-26412",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-26412"
    },
    {
      "name": "CVE-2021-26854",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-26854"
    }
  ],
  "initial_release_date": "2021-03-03T00:00:00",
  "last_revision_date": "2021-07-16T00:00:00",
  "links": [
    {
      "title": "[2]",
      "url": "https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901"
    },
    {
      "title": "[9]",
      "url": "https://github.com/microsoft/CSS-Exchange/tree/main/Security"
    },
    {
      "title": "Pr\u00e9sentation de l\u0027outil Microsoft EOMT du 15 mars 2021",
      "url": "https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/"
    },
    {
      "title": "Avis CERT-FR du 03 mars 2021",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-156/"
    },
    {
      "title": "[8]",
      "url": "https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020"
    },
    {
      "title": "GitHub Microsoft CSS-Exchange",
      "url": "https://github.com/microsoft/CSS-Exchange/tree/main/Security"
    },
    {
      "title": "[4]",
      "url": "https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"
    },
    {
      "title": "[3]",
      "url": "https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/"
    },
    {
      "title": "[7]",
      "url": "https://us-cert.cisa.gov/ncas/alerts/aa21-062a"
    },
    {
      "title": "[5]",
      "url": "https://github.com/microsoft/CSS-Exchange/tree/main/Security"
    },
    {
      "title": "[6]",
      "url": "https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/"
    },
    {
      "title": "[1]",
      "url": "https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"
    }
  ],
  "reference": "CERTFR-2021-ALE-004",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2021-03-03T00:00:00.000000"
    },
    {
      "description": "Clarification sur les syst\u00e8mes affect\u00e9s",
      "revision_date": "2021-03-03T00:00:00.000000"
    },
    {
      "description": "Ajout des informations communiqu\u00e9es par Microsoft",
      "revision_date": "2021-03-08T00:00:00.000000"
    },
    {
      "description": "Ajout des recommandations du CISA",
      "revision_date": "2021-03-08T00:00:00.000000"
    },
    {
      "description": "Ajout des informations concernant les correctifs pour les anciens Cumulative Updates",
      "revision_date": "2021-03-09T00:00:00.000000"
    },
    {
      "description": "Ajout de l\u0027outil EOMT de Microsoft.",
      "revision_date": "2021-03-16T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2021-07-16T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cstrong\u003e\\[version du 16 mars 2021\\]\u003c/strong\u003e\n\nle 15 mars 2021, Microsoft a publi\u00e9 un nouvel outil dont le but annonc\u00e9\nest d\u0027aider leurs clients \u00e0 se prot\u00e9ger de l\u0027exploitation de la\nvuln\u00e9rabilit\u00e9\u00a0CVE-2021-26855 affectant les serveurs de courrier Exchange\nen attendant l\u0027application des mises \u00e0 jour\n[(https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/).](https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/)\n\nLes d\u00e9tails de cet outil sont d\u00e9velopp\u00e9s dans la section \"Contournement\nprovisoire\".\n\nLe CERT-FR souhaite cependant insister sur plusieurs points:\n\n-   Cet outil ne prot\u00e8ge que contre une exploitation future de la\n    vuln\u00e9rabilit\u00e9 CVE-2021-26855, en attendant l\u0027application de la mise\n    \u00e0 jour fournie le 2 mars 2021 ;\n-   Les vuln\u00e9rabilit\u00e9s ayant \u00e9t\u00e9 exploit\u00e9es avant la publication des\n    correctifs, puis de fa\u00e7on massive, tous les serveurs Exchange\n    doivent \u00eatre consid\u00e9r\u00e9s comme compromis. L\u0027utilisation de cet outil\n    ne remplace pas l\u0027\u00e9tape de recherche de compromission (voir les\n    recommandations de cette alerte) ;\n-   De plus en plus de codes d\u0027exploitation sont publiquement\n    disponibles. L\u0027outil de Microsoft tente d\u0027annuler certaines\n    modifications malveillantes r\u00e9alis\u00e9es lors de l\u0027exploitation de la\n    vuln\u00e9rabilit\u00e9 CVE-2021-26855, mais cela ne fonctionne que pour une\n    partie des codes d\u0027exploitation connus.\n\n\u003cstrong\u003e\\[version du 9 mars 2021\\]\u003c/strong\u003e\n\nLe CERT-FR recommande fortement de toujours maintenir les serveurs\nExchange dans une version maintenue par l\u0027\u00e9diteur, notamment en\nappliquant les derniers *Cumulative Updates (CU)*. Cependant, \u00e9tant\ndonn\u00e9 l\u0027urgence de la situation, dans le cas o\u00f9 l\u0027application d\u0027un *CU*\nne peut pas se faire imm\u00e9diatement, l\u0027\u00e9diteur a publi\u00e9 un correctif pour\nles anciens *CU* des versions Exchange 2016 et 2019\n[\\[8\\]](https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020).\n\nNote importante : Le CERT-FR insiste sur l\u0027importance de bien suivre les\nrecommandations de l\u0027\u00e9diteur pour l\u0027application des correctifs : en\nparticulier, en cas d\u0027installation manuelle du fichier .msp, il est\nobligatoire d\u0027avoir les droits administrateur au moment de son\ninstallation.\n\n\u003cstrong\u003e\\[version du 8 mars 2021\\]\u003c/strong\u003e\n\nMicrosoft a publi\u00e9 un code\n[\\[5\\]](https://github.com/microsoft/CSS-Exchange/tree/main/Security)\npermettant de v\u00e9rifier la pr\u00e9sence des indicateurs de compromission\n(IoCs) li\u00e9s au mode op\u00e9ratoire *Hafnium*. Un d\u00e9tail de l\u0027utilisation de\nce code est disponible dans la section *\"scan Exchange log files\"* de\nl\u2019article *\"HAFNIUM targeting Exchange Servers with 0-day exploits\"*\n[\\[1\\]](https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/).\n\nA d\u00e9faut d\u0027appliquer le correctif imm\u00e9diatement, des mesures de\ncontournement \u003cstrong\u003eprovisoires\u003c/strong\u003e ont \u00e9t\u00e9 propos\u00e9es par l\u0027\u00e9diteur pour les\nversions 2013, 2016 et 2019 des serveurs Exchange\n[\\[6\\]](https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/).\nCependant, contrairement aux correctifs, ces mesures ont un impact sur\nles fonctionnalit\u00e9s des serveurs Exchange et ne garantissent pas une\nprotection compl\u00e8te contre ces vuln\u00e9rabilit\u00e9s.\n\nDe plus, dans le cas o\u00f9 l\u0027application du correctif n\u0027est pas imm\u00e9diate,\nle CISA recommande de restreindre les acc\u00e8s externes des plateformes\nExchange expos\u00e9es en appliquant les mesures suivantes\u00a0\n[\\[7\\]](https://us-cert.cisa.gov/ncas/alerts/aa21-062a) :\n\n-   Bloquer les connections non v\u00e9rifi\u00e9es qui peuvent acc\u00e9der aux\n    serveurs Exchange sur le port 443, ou mettre en place un VPN afin\n    qu\u0027il ne soit plus directement expos\u00e9 sur Internet ;\n-   Restreindre les acc\u00e8s externes :\n    -   \u00c0 l\u0027url OWA : /owa/ ;\n    -   \u00c0 l\u0027url Exchange Admin Center (EAC) aka Exchange Control Panel\n        (ECP) : /ecp/\n\nMicrosoft met en avant la forte augmentation de l\u0027exploitation de ces\nquatre vuln\u00e9rabilit\u00e9s par des attaquants. Le CERT-FR rappelle donc le\nmotif \u003cstrong\u003eurgent\u003c/strong\u003e de la \u003cstrong\u003emise en place des correctifs de s\u00e9curit\u00e9\u003c/strong\u003e, ou\nau moins la restriction des acc\u00e8s \u00e0 la plateforme ainsi que la mise en\nplace des mesures de contournement le temps d\u0027appliquer ces correctifs.\n\n\u00a0\n\n\u003cstrong\u003e\\[version initiale\\]\u003c/strong\u003e\n\nLe 2 mars 2021, Microsoft a publi\u00e9 des correctifs concernant des\nvuln\u00e9rabilit\u00e9s critiques de type \u00ab\u00a0jour z\u00e9ro\u00a0\u00bb (zero day) affectant les\nserveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019.\n\nCes vuln\u00e9rabilit\u00e9s permettent \u00e0 un attaquant de r\u00e9aliser une ex\u00e9cution\nde code arbitraire \u00e0 distance, permettant d\u2019obtenir *in fine* les droits\nde l\u2019administrateur de domaine Active Directory.\n\n-   CVE-2021-26855\u00a0: vuln\u00e9rabilit\u00e9 c\u00f4t\u00e9 serveur de type SSRF permettant\n    \u00e0 l\u2018attaquant non authentifi\u00e9 d\u2019envoyer des requ\u00eates HTTP\n    arbitraires qui seront ex\u00e9cut\u00e9es sous l\u2019identit\u00e9 du serveur\n    Exchange.\n-   CVE-2021-27065\u00a0: vuln\u00e9rabilit\u00e9 post-authentification permettant \u00e0\n    l\u2019attaquant de pouvoir \u00e9crire un contenu arbitraire dans un fichier.\n    Les droits d\u2019acc\u00e8s peuvent \u00eatre obtenus soit en exploitant la\n    CVE-2021-26855 soit en compromettant les identifiants d\u2019un\n    administrateur l\u00e9gitime.\n-   CVE-2021-26857\u00a0: vuln\u00e9rabilit\u00e9 bas\u00e9e sur une faiblesse de la\n    d\u00e9s\u00e9rialisation dans le service de messagerie unifi\u00e9e (Unified\n    Messaging). Cette vuln\u00e9rabilit\u00e9 permet \u00e0 l\u2019attaquant de pouvoir\n    ex\u00e9cuter du code arbitraire \u00e0 distance avec les privil\u00e8ges SYSTEM\n    sur le serveur Exchange. L\u2019exploitation de cette vuln\u00e9rabilit\u00e9\n    demande les droits administrateurs (ou l\u2019exploitation d\u2019une autre\n    vuln\u00e9rabilit\u00e9).\n-   CVE-2021-26858\u00a0: vuln\u00e9rabilit\u00e9 post-authentification permettant \u00e0\n    l\u2019attaquant de pouvoir \u00e9crire un contenu arbitraire dans un fichier.\n    Les droits d\u2019acc\u00e8s peuvent \u00eatre obtenus soit en exploitant la\n    CVE-2021-26855 soit en compromettant les identifiants d\u2019un\n    administrateur l\u00e9gitime.\n\nL\u2019\u00e9diteur indique que ces vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 exploit\u00e9es dans des\nattaques cibl\u00e9es qu\u0027il attribue \u00e0 un groupe d\u2019attaquants appel\u00e9\n*Hafnium*\n[\\[1\\]](https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/).\nEn compl\u00e9ment, les chercheurs de Volexity indiquent avoir d\u00e9tect\u00e9 des\npremi\u00e8res attaques d\u00e8s janvier 2021\n[\\[4\\]](https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/).\n\nAu vu de la criticit\u00e9 de ces vuln\u00e9rabilit\u00e9s, l\u2019ANSSI recommande\nfortement de r\u00e9aliser les actions suivantes\u00a0:\n\n-   d\u00e9connecter imm\u00e9diatement les serveurs Exchange qui seraient expos\u00e9s\n    sur Internet sans protection le temps d\u2019appliquer les correctifs ;\n-   appliquer imm\u00e9diatement les correctifs de s\u00e9curit\u00e9 fournis par\n    l\u2019\u00e9diteur sur l\u2019ensemble des serveurs Exchange expos\u00e9s sur Internet\n    puis en interne ;\n-   proc\u00e9der \u00e0 l\u2019analyse des serveurs Exchange afin d\u2019identifier une\n    possible compromission \u00e0 l\u2019aide des indicateurs de compromission\n    publi\u00e9s par l\u2019\u00e9diteur\n    [\\[1\\]](https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/)\u00a0et\n    de Volexity\n    [\\[4\\]](https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/).\n    Une premi\u00e8re \u00e9tape consistera notamment \u00e0 effectuer une recherche\n    d\u0027ant\u00e9c\u00e9dents dans les logs des serveurs web de Outlook Web Access\n    afin de d\u00e9celer d\u0027\u00e9ventuelles requ\u00eates de type *POST* vers\n    */owa/auth/Current/themes/resources/* ;\n-   en cas de compromission, de contr\u00f4ler le syst\u00e8me d\u2019information pour\n    d\u00e9tecter d\u2019\u00e9ventuelles lat\u00e9ralisations ainsi qu\u2019une compromission\n    des serveurs Active Directory.\n\n\u00a0\n\nEnfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne\ndevraient pas \u00eatre expos\u00e9s sans protection sur Internet. Il est\nfortement recommand\u00e9 d\u2019appliquer les bonnes pratiques publi\u00e9es par\nl\u2019ANSSI pour le nomadisme\n[\\[3\\]](https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/).\n",
  "title": "[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Exchange Server",
  "vendor_advisories": [
    {
      "published_at": "2021-03-02",
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft",
      "url": "https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.