Le CERT-FR informe de vulnérabilités critiques identifiées sur Microsoft Exchange Server 2019, 2016, 2013 et  2010 : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065.

Microsoft a publié un ensemble de mises à jour de sécurité le 2 mars 2021 corrigeant les quatre vulnérabilités zero-day touchant leur produit Microsoft Exchange (Outlook Web Access, mais également d’autres services exposés sur un serveur Exchange standard). Ces vulnérabilités exposent notamment les serveurs à des exécutions de code arbitraire ainsi que des contournements d’authentification. Les solutions Exchange Online ne sont pas affectées par cette série de vulnérabilités. 

L’éditeur indique que ces vulnérabilités ont été exploitées dans des attaques ciblées qu’il attribue à un groupe d’attaquants appelé Hafnium. En complément, les chercheurs de Volexity indiquent avoir détecté des premières attaques dès janvier 2021.

Microsoft incite fortement toute entreprise utilisant des serveurs Exchange à réaliser les mises à jour le plus rapidement possible.

 

Impacts

  • Exécution de code à distance (RCE) permettant in fine d’obtenir les droits administrateurs sur l’Active Directory ;
  • Vol de données confidentielles et personnelles (boîtes e-mails).

Recommandations

 

  • L’ANSSI recommande de déconnecter immédiatement les serveurs Exchange qui seraient exposés sur Internet sans protection le temps d’appliquer les correctifs ;
  • Attention, seuls les deux derniers Cumulative Update (CU) des serveurs Exchange en version 2013, 2016 et 2019 sont maintenus à jour et reçoivent les correctifs de sécurité ;
  • Des correctifs de sécurité sont donc disponibles pour :
    • Exchange Server 2013 CU 23 ;
    • Exchange Server 2016 CU 19 et CU 18 ;
    • Exchange Server 2019 CU 8 et CU 7 ;
    • Exchange Server 2010 SP3 Rollup 30 ;
  • Pour des versions antérieures, il faut appliquer les Cumulative Update ou les Rollup pour Exchange 2010 en amont de l’application du correctif. Microsoft a publié une procédure accompagnée d’une Foire Aux Questions ;
  • Procéder à l’analyse des serveurs Exchange afin d’identifier une possible compromission à l’aide des indicateurs de compromission publiés par l’éditeur et de Volexity. Une première étape consistera notamment à effectuer une recherche d’antécédents dans les logs des serveurs web de Outlook Web Access afin de déceler d’éventuelles requêtes de type POST vers /owa/auth/Current/themes/resources/ ;
  • En cas de compromission, de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory ;
  • Le CERT-FR rappelle que les serveurs Microsoft Exchange ne devraient pas être exposés sans protection sur Internet. Il est fortement recommandé d’appliquer les bonnes pratiques publiées par l’ANSSI pour le nomadisme.