Risque(s)
Exécution de code arbitraire à distance
Systèmes affectés
Microsoft Exchange Server 2010
Microsoft Exchange Server 2013
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
Les solutions Exchange Online ne sont pas affectées par les vulnérabilités.
Résumé
Le 2 mars 2021, Microsoft a publié des correctifs concernant des vulnérabilités critiques de type « jour zéro » (Zero Day (Faille de sécurité de type Zero Day)) affectant les serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019.
Avis de sécurité viewtopic.php?f=173&t=37023
Ces vulnérabilités permettent à un attaquant de réaliser une exécution de code arbitraire à distance, permettant d’obtenir in fine les droits de l’administrateur de domaine Active Directory.
CVE-2021-26855 : vulnérabilité côté serveur de type SSRF permettant à l‘attaquant non authentifié d’envoyer des requêtes HTTP arbitraires qui seront exécutées sous l’identité du serveur Exchange.
CVE-2021-27065 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.
CVE-2021-26857 : vulnérabilité basée sur une faiblesse de la désérialisation dans le service de messagerie unifiée (Unified Messaging). Cette vulnérabilité permet à l’attaquant de pouvoir exécuter du code arbitraire à distance avec les privilèges SYSTEM sur le serveur Exchange. L’exploitation de cette vulnérabilité demande les droits administrateurs (ou l’exploitation d’une autre vulnérabilité).
CVE-2021-26858 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.
L’éditeur indique que ces vulnérabilités ont été exploitées dans des attaques ciblées qu'il attribue à un groupe d’attaquants appelé Hafnium [1]. En complément, les chercheurs de Volexity indiquent avoir détecté des premières attaques dès janvier 2021 [4].
Au vu de la criticité de ces vulnérabilités, l’ANSSI recommande fortement de réaliser les actions suivantes :
- déconnecter immédiatement les serveurs Exchange qui seraient exposés sur Internet sans protection le temps d’appliquer les correctifs ;
- appliquer immédiatement les correctifs de sécurité fournis par l’éditeur sur l’ensemble des serveurs Exchange exposés sur Internet puis en interne ;
- procéder à l’analyse des serveurs Exchange afin d’identifier une possible compromission à l’aide des indicateurs de compromission publiés par l’éditeur [1] et de Volexity [4]. Une première étape consistera notamment à effectuer une recherche d'antécédents dans les logs des serveurs web de Outlook Web Access afin de déceler d'éventuelles requêtes de type POST vers /owa/auth/Current/themes/resources/ ;
- en cas de compromission, de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.
Enfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne devraient pas être exposés sans protection sur Internet. Il est fortement recommandé d’appliquer les bonnes pratiques publiées par l’ANSSI pour le nomadisme [3].
Solution
Pour rappel, seuls les deux derniers Cumulative Update (CU) des serveurs Exchange en version 2013, 2016 et 2019 sont maintenus à jour et reçoivent les correctifs de sécurité.
Des correctifs de sécurité sont donc disponibles pour :
Exchange Server 2013 CU 23
Exchange Server 2016 CU 19 et CU 18
Exchange Server 2019 CU 8 et CU 7
Exchange Server 2010 SP3 Rollup 30
Pour des versions antérieures, il faut appliquer les Cumulative Update ou les Rollup pour Exchange 2010 en amont de l’application du correctif. Microsoft a publié une procédure accompagnée d’une Foire Aux Questions [2].
Documentation
Bulletin de sécurité Microsoft du 02 mars 2021
https://msrc-blog.microsoft.com/2021/03 ... ge-server/
Avis CERT-FR du 03 mars 2021
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-156/
Référence CVE CVE-2021-26855
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-26855
Référence CVE CVE-2021-26857
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-26857
Référence CVE CVE-2021-26858
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-26858
Référence CVE CVE-2021-27065
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-27065
Référence CVE CVE-2021-26412
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-26412
Référence CVE CVE-2021-26854
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-26854
Référence CVE CVE-2021-27078
http://cve.mitre.org/cgi-bin/cvename.cg ... 2021-27078
[1] https://www.microsoft.com/security/blog ... e-servers/
[2] https://techcommunity.microsoft.com/t5/ ... -p/2175901
[3] https://www.ssi.gouv.fr/guide/recommand ... numerique/
[4] https://www.volexity.com/blog/2021/03/0 ... abilities/
