Vulnérabilités dans Microsoft Exchange

Date de publication :

Microsoft a récemment publié plusieurs correctifs concernant des vulnérabilités 0-day critiques affectant les serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019.

CVE-2021-26855 [Score CVSS v3 : 9.8] : Une vulnérabilité côté serveur de type SSRF a été corrigée dans Microsoft Exchange. Son exploitation peut permettre à un attaquant distant et non authentifié d’envoyer des requêtes HTTP arbitraires qui seront exécutées sous l’identité du serveur Exchange.

CVE-2021-27065 [Score CVSS v3 : 7.8] : Une vulnérabilité post-authentification dans Microsoft Exchange a été corrigée. Son exploitation peut permettre à un attaquant local d’écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.

CVE-2021-26857 [Score CVSS v3 : 7.8] : Une vulnérabilité basée sur une faiblesse de la désérialisation dans le service de messagerie unifiée (Unified Messaging) a été corrigée. Cette faille peut permettre à un attaquant d’exécuter du code arbitraire à distance avec les privilèges SYSTEM sur le serveur Exchange. L’exploitation de cette vulnérabilité demande les droits administrateurs (obtenu par exemple en exploitant la CVE-2021-26855).

CVE-2021-26858 [Score CVSS v3 : 7.8] : Une vulnérabilité post-authentification  dans Microsoft Exchange a été corrigée. Son exploitation peut permettre à un attaquant d’écrire du contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Contournement d’authentification
  • Elévation de privilèges
  • Exécution de code arbitraire

Criticité

  • Scores CVSS v3 : 7.8 ; En cours de calcul

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
  • Néanmoins, ces vulnérabilités ont été signalées par Microsoft comme activement exploitées.

Composants vulnérables

  • Les versions 2010, 2013, 2016 et 2019 de Microsoft Exchange sont impactées par ces vulnérabilités.

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Appliquer immédiatement le correctif de sécurité Microsoft aux versions impactées d’Exchange:

  • Exchange Server 2013 CU 23
  • Exchange Server 2016 CU 19 et CU 18
  • Exchange Server 2019 CU 8 et CU 7
  • Exchange Server 2010 SP3 Rollup 30

Ces correctifs sont disponibles ici :

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

Solution de contournement

Au vu de la criticité de ces vulnérabilités, l’ANSSI recommande fortement de réaliser les actions suivantes :

  • déconnecter immédiatement les serveurs Exchange qui seraient exposés sur Internet sans protection le temps d’appliquer les correctifs ;
  • procéder à l’analyse des serveurs Exchange afin d’identifier une possible compromission à l’aide des indicateurs de compromission disponibles au liens suivants :

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/

  • En cas de compromission, de contrôler le système d’information pour détecter une éventuelle compromission des serveurs Active Directory.

[Mise à jour 08/03/2021] 

Dans l'attente de l'application des correctifs de sécurité concernant Microsoft Exchange et également pour vérifier l'existence de compromission suite à une intrusion, Microsoft a récemment proposé un tutoriel ainsi que des scripts afin de scanner les infrastructures à la recherche d'indicateurs de compromission.

Il est vivement conseillé d'exécuter certains d'entre eux même si les correctifs pour Microsoft Exchange ont été appliqués.

Les liens vers ces ressources sont disponibles en référence de ce bulletin.

Liens