CERTFR-2021-ALE-021
Vulnerability from certfr_alerte

Une vulnérabilité a été découverte dans Microsoft Exchange, initialement dans le cadre de la compétition de cybersécurité Tianfu Cup qui a eu lieu en juillet 2021. Elle permet à un attaquant ayant accès aux identifiants d'un utilisateur de provoquer une exécution de code arbitraire à distance, permettant d’obtenir in fine les droits de l’administrateur de domaine Active Directory.

L'éditeur confirme que cette vulnérabilité est exploitée dans le cadre d'attaques ciblées.

Le CERT-FR recommande donc d'appliquer les correctifs de sécurité dans les plus brefs délais.

Le CERT-FR rappelle en outre que l'éditeur ne fournit des correctifs de sécurité que pour les deux dernières mises à jour cumulatives (Cumulative Update, CU). En l’occurrence, seules les versions de Microsoft Exchange 2019 CU 11, 2019 CU 10, 2016 CU 22 et 2016 CU 21 disposent d'un correctif de sécurité. Il est donc primordial d'avoir déployé ces mises à jour cumulatives (CU) et d'appliquer le correctif.

Enfin, il convient de souligner que ce type de service ne devrait pas être exposé sur Internet sans mesure de protection [1].

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

None
Impacted products
Vendor Product Description
Microsoft N/A Microsoft Exchange 2016
Microsoft N/A Microsoft Exchange 2019
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Microsoft Exchange 2016",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    },
    {
      "description": "Microsoft Exchange 2019",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2022-05-04",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2021-42321",
      "url": "https://www.cve.org/CVERecord?id=CVE-2021-42321"
    }
  ],
  "initial_release_date": "2021-11-10T00:00:00",
  "last_revision_date": "2022-05-04T00:00:00",
  "links": [
    {
      "title": "avis de s\u00e9curit\u00e9 CERTFR-2021-AVI-863 du 10 novembre 2021",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-863/"
    },
    {
      "title": "[1] Guide ANSSI sur le nomadisme num\u00e9rique",
      "url": "https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/"
    }
  ],
  "reference": "CERTFR-2021-ALE-021",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2021-11-10T00:00:00.000000"
    },
    {
      "description": "correction du lien vers le guide ANSSI",
      "revision_date": "2021-11-12T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2022-05-04T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans Microsoft Exchange, initialement\ndans le cadre de la comp\u00e9tition de cybers\u00e9curit\u00e9 *Tianfu Cup* qui a eu\nlieu en juillet 2021. Elle permet \u00e0 un attaquant ayant acc\u00e8s aux\nidentifiants d\u0027un utilisateur de provoquer une ex\u00e9cution de code\narbitraire \u00e0 distance, permettant d\u2019obtenir *in fine* les droits de\nl\u2019administrateur de domaine Active Directory.\n\n\u003cu\u003eL\u0027\u00e9diteur confirme que cette vuln\u00e9rabilit\u00e9 est exploit\u00e9e dans le\ncadre d\u0027attaques cibl\u00e9es\u003c/u\u003e.\n\nLe CERT-FR recommande donc d\u0027appliquer les correctifs de s\u00e9curit\u00e9 dans\nles plus brefs d\u00e9lais.\n\nLe CERT-FR rappelle en outre que l\u0027\u00e9diteur ne fournit des correctifs de\ns\u00e9curit\u00e9 que pour les deux derni\u00e8res mises \u00e0 jour cumulatives\n(*Cumulative Update*, *CU*). En l\u2019occurrence, seules les versions de\nMicrosoft Exchange 2019 CU 11, 2019 CU 10, 2016 CU 22 et 2016 CU 21\ndisposent d\u0027un correctif de s\u00e9curit\u00e9. \u003cu\u003eIl est donc primordial d\u0027avoir\nd\u00e9ploy\u00e9 ces mises \u00e0 jour cumulatives (*CU*) et d\u0027appliquer le\ncorrectif\u003c/u\u003e.\n\nEnfin, il convient de souligner que ce type de service ne devrait pas\n\u00eatre expos\u00e9 sur Internet sans mesure de protection \\[1\\].\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Microsoft Exchange",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft CVE-2021-42321 du 09 novembre 2021",
      "url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.