Multiples vulnérabilités critiques dans Microsoft Exchange

Risque(s)

  • Exécution de code arbitraire à distance
  • Contournement de la politique de sécurité
  • Élévation de privilèges

Résumé

Dans son bulletin d’actualité CERTFR-2021-ACT-035 du 12 août 2021 [1], le CERT-FR revenait sur la publication d’une technique permettant de prendre le contrôle d’un serveur Microsoft Exchange. La technique, dénommée « ProxyShell » s’appuie sur l’existence de plusieurs vulnérabilités corrigées en avril et en mai 2021 [4] (mais annoncées en juillet) [2] [3].

Récemment, le CERT-FR a pris connaissance d’activités malveillantes qui pourraient-être basées sur une exploitation de ces vulnérabilités et ciblant les serveurs Microsoft Exchange d’entités françaises.

Le CERT-FR a signalé l’existence de serveurs vulnérables exposés sur Internet à leurs propriétaires, mais sans possibilité d’exhaustivité. Par conséquent le CERT-FR rappelle les recommandations suivantes :

  • appliquer immédiatement les correctifs de sécurité fournis par l’éditeur sur l’ensemble des serveurs Exchange vulnérables exposés sur Internet puis en interne ;
  • procéder à l’analyse des serveurs Exchange afin d’identifier une possible activité anormale à l’aide des informations fournies dans notre bulletin CERTFR-2021-ACT-035 et la présence de webshells ;
  • en cas de compromission, contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.

Enfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne devraient pas être exposés sans protection sur Internet. Il est fortement recommandé d’appliquer les bonnes pratiques publiées par l’ANSSI pour ce type service [5].

Solution

Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).

Documentation

Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *