Retour aux articles
De nouvelles failles de sécurité informatique découvertes sur les serveurs de messagerie Exchange
Auteur : Florian Marino
Date de publication : 8 mars 2021 - Dernière mise à jour : 8 mars 2021
De nouvelles failles de sécurité informatique ont été découvertes au sein des serveurs de messagerie Exchange pour les versions 2010,2013, 2016 et 2019.
Ces failles sont de type « zéro day », elles permettent à un attaquant de réaliser un code arbitraire à distance, ayant pour finalité l’obtention des droits d’administration des Domaines Active Directory.
Les solutions Exchange Online ne sont pas affectées par ces vulnérabilités.
Ces failles sont segmentées en 4 parties et identifiées comme ci-dessous :
Aux vues du niveau de criticité de ces vulnérabilités, l’ANSSI recommande les actions suivantes :
- CVE-2021-26855 : vulnérabilité côté serveur de type SSRF permettant à l‘attaquant non authentifié d’envoyer des requêtes HTTP arbitraires qui seront exécutées sous l’identité du serveur Exchange.
- CVE-2021-27065 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.
- CVE-2021-26857 : vulnérabilité basée sur une faiblesse de la désérialisation dans le service de messagerie unifiée (Unified Messaging). Cette vulnérabilité permet à l’attaquant de pouvoir exécuter du code arbitraire à distance avec les privilèges SYSTEM sur le serveur Exchange. L’exploitation de cette vulnérabilité demande les droits administrateurs (ou l’exploitation d’une autre vulnérabilité).
- CVE-2021-26858 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.
Microsoft annonce en collaboration avec les chercheurs de Volexity que les attaques ont commencé dès janvier 2021 et ont été attribuée à un groupe d’attaquant appelé Hafnium.
Aux vues du niveau de criticité de ces vulnérabilités, l’ANSSI recommande les actions suivantes :
- Déconnecter immédiatement les serveurs Exchange qui seraient exposés sur Internet sans protection le temps d’appliquer les correctifs ;
- Appliquer immédiatement les correctifs de sécurité fournis par l’éditeur sur l’ensemble des serveurs Exchange exposés sur Internet puis en interne ;
- Procéder à l’analyse des serveurs Exchange afin d’identifier une possible compromission à l’aide des indicateurs de compromission publiés par l’éditeur [1] et de Volexity [4]. Une première étape consistera notamment à effectuer une recherche d'antécédents dans les logs des serveurs web de Outlook Web Access afin de déceler d'éventuelles requêtes de type POST vers /owa/auth/Current/themes/resources/ ;
- En cas de compromission, de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.
Correctif de sécurité
Pour rappel, seulement les deux derniers Cumulative update (CU) des serveur Exchange disposant des versions 2013,2016 et 2019 sont maintenus à jour.
Plus en détails : les correctifs de sécurité par version :
- Exchange Server 2013 CU 23
- Exchange Server 2016 CU 19 et CU 18
- Exchange Server 2019 CU 8 et CU 7
- Exchange Server 2010 SP3 Rollup 30
Pour la version ancienne comme Exchange Server 2010, l’application des Cumulative Update ou les Rollup permettront l’obturation de ces failles. Pour cette version, Microsoft met à disposition sur son site une procédure accompagnée ainsi qu’une Foire Aux Questions.
Sources/Liens
Bulletin d’alerte du CERT-FR
