ALERTE : Multiples vuln Microsoft Exchange Server (03.03.21)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Multiples vuln Microsoft Exchange Server (03.03.21)

Messagede pierre » 04 Mar 2021, 18:01

ALERTE : Multiples vulnérabilités dans Microsoft Exchange Server


Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019

Les solutions Exchange Online ne sont pas affectées par les vulnérabilités.

Résumé
Le 2 mars 2021, Microsoft a publié des correctifs concernant des vulnérabilités critiques de type « jour zéro » (Zero Day (Faille de sécurité de type Zero Day)) affectant les serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019.

Avis de sécurité viewtopic.php?f=173&t=37023

Ces vulnérabilités permettent à un attaquant de réaliser une exécution de code arbitraire à distance, permettant d’obtenir in fine les droits de l’administrateur de domaine Active Directory.

CVE-2021-26855 : vulnérabilité côté serveur de type SSRF permettant à l‘attaquant non authentifié d’envoyer des requêtes HTTP arbitraires qui seront exécutées sous l’identité du serveur Exchange.

CVE-2021-27065 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.

CVE-2021-26857 : vulnérabilité basée sur une faiblesse de la désérialisation dans le service de messagerie unifiée (Unified Messaging). Cette vulnérabilité permet à l’attaquant de pouvoir exécuter du code arbitraire à distance avec les privilèges SYSTEM sur le serveur Exchange. L’exploitation de cette vulnérabilité demande les droits administrateurs (ou l’exploitation d’une autre vulnérabilité).

CVE-2021-26858 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.

L’éditeur indique que ces vulnérabilités ont été exploitées dans des attaques ciblées qu'il attribue à un groupe d’attaquants appelé Hafnium [1]. En complément, les chercheurs de Volexity indiquent avoir détecté des premières attaques dès janvier 2021 [4].

Au vu de la criticité de ces vulnérabilités, l’ANSSI recommande fortement de réaliser les actions suivantes :

  • déconnecter immédiatement les serveurs Exchange qui seraient exposés sur Internet sans protection le temps d’appliquer les correctifs ;
  • appliquer immédiatement les correctifs de sécurité fournis par l’éditeur sur l’ensemble des serveurs Exchange exposés sur Internet puis en interne ;
  • procéder à l’analyse des serveurs Exchange afin d’identifier une possible compromission à l’aide des indicateurs de compromission publiés par l’éditeur [1] et de Volexity [4]. Une première étape consistera notamment à effectuer une recherche d'antécédents dans les logs des serveurs web de Outlook Web Access afin de déceler d'éventuelles requêtes de type POST vers /owa/auth/Current/themes/resources/ ;
  • en cas de compromission, de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.


Enfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne devraient pas être exposés sans protection sur Internet. Il est fortement recommandé d’appliquer les bonnes pratiques publiées par l’ANSSI pour le nomadisme [3].

Solution
Pour rappel, seuls les deux derniers Cumulative Update (CU) des serveurs Exchange en version 2013, 2016 et 2019 sont maintenus à jour et reçoivent les correctifs de sécurité.

Des correctifs de sécurité sont donc disponibles pour :

Exchange Server 2013 CU 23
Exchange Server 2016 CU 19 et CU 18
Exchange Server 2019 CU 8 et CU 7
Exchange Server 2010 SP3 Rollup 30

Pour des versions antérieures, il faut appliquer les Cumulative Update ou les Rollup pour Exchange 2010 en amont de l’application du correctif. Microsoft a publié une procédure accompagnée d’une Foire Aux Questions [2].


Documentation
Bulletin de sécurité Microsoft du 02 mars 2021
https://msrc-blog.microsoft.com/2021/03 ... ge-server/

Avis CERT-FR du 03 mars 2021
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-156/

Référence CVE CVE-2021-26855
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-26855

Référence CVE CVE-2021-26857
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-26857

Référence CVE CVE-2021-26858
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-26858

Référence CVE CVE-2021-27065
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-27065

Référence CVE CVE-2021-26412
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-26412

Référence CVE CVE-2021-26854
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-26854

Référence CVE CVE-2021-27078
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-27078

[1] https://www.microsoft.com/security/blog ... e-servers/
[2] https://techcommunity.microsoft.com/t5/ ... -p/2175901
[3] https://www.ssi.gouv.fr/guide/recommand ... numerique/
[4] https://www.volexity.com/blog/2021/03/0 ... abilities/
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29448
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 22 invités

cron