Accueil > Alertes CERT-MC > ALERTE CERTFR - 2021 - ALE - 004

ALERTE CERTFR - 2021 - ALE - 004

Objet : Multiples vulnérabilités dans Microsoft Exchange Server

Référence : CERTFR-2021-ALE-004

Risque(s)

- Exécution de code arbitraire à distance

Systèmes affectés

- Microsoft Exchange Server 2010
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019

Résumé

Le 2 mars 2021, Microsoft a publié des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero day) affectant les serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019.

Ces vulnérabilités permettent à un attaquant de réaliser une exécution de code arbitraire à distance, permettant d’obtenir in fine les droits de l’administrateur de domaine Active Directory.

- CVE-2021-26855 : vulnérabilité côté serveur de type SSRF permettant à l‘attaquant non authentifié d’envoyer des requêtes HTTP arbitraires qui seront exécutées sous l’identité du serveur Exchange.
- CVE-2021-27065 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.
- CVE-2021-26857 : vulnérabilité basée sur une faiblesse de la désérialisation dans le service de messagerie unifiée (Unified Messaging). Cette vulnérabilité permet à l’attaquant de pouvoir exécuter du code arbitraire à distance avec les privilèges SYSTEM sur le serveur Exchange. L’exploitation de cette vulnérabilité demande les droits administrateurs (ou l’exploitation d’une autre vulnérabilité).
- CVE-2021-26858 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.

L’éditeur indique que ces vulnérabilités ont été exploitées dans des attaques ciblées qu'il attribue à un groupe d’attaquants appelé Hafnium [1]. En complément, les chercheurs de Volexity indiquent avoir détecté des premières attaques dès janvier 2021 [4].

Au vu de la criticité de ces vulnérabilités, l’ANSSI recommande fortement de réaliser les actions suivantes :

- déconnecter immédiatement les serveurs Exchange qui seraient exposés sur Internet sans protection le temps d’appliquer les correctifs ;
- appliquer immédiatement les correctifs de sécurité fournis par l’éditeur sur l’ensemble des serveurs Exchange exposés sur Internet puis en interne ;
- procéder à l’analyse des serveurs Exchange afin d’identifier une possible compromission à l’aide des indicateurs de compromission publiés par l’éditeur [1] et de Volexity [4]. Une première étape consistera notamment à effectuer une recherche d'antécédents dans les logs des serveurs web de Outlook Web Access afin de déceler d'éventuelles requêtes de type POST vers /owa/auth/Current/themes/resources/ ;
- en cas de compromission, de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.

Enfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne devraient pas être exposés sans protection sur Internet. Il est fortement recommandé d’appliquer les bonnes pratiques publiées par l’ANSSI pour le nomadisme [3].

Solution

Pour rappel, seuls les deux derniers Cumulative Update (CU) des serveurs Exchange en version 2013, 2016 et 2019 sont maintenus à jour et reçoivent les correctifs de sécurité.

Des correctifs de sécurité sont donc disponibles pour :

- Exchange Server 2013 CU 23
- Exchange Server 2016 CU 19 et CU 18
- Exchange Server 2019 CU 8 et CU 7
- Exchange Server 2010 SP3 Rollup 30

Pour des versions antérieures, il faut appliquer les Cumulative Update ou les Rollup pour Exchange 2010 en amont de l’application du correctif. Microsoft a publié une procédure accompagnée d’une Foire Aux Questions [2].

Documentation

- Bulletin de sécurité Microsoft du 02 mars 2021
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/  
- Avis CERT-FR du 03 mars 2021
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-156/  
- Référence CVE CVE-2021-26855
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26855  
- Référence CVE CVE-2021-26857
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26857  
- Référence CVE CVE-2021-26858
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26858  
- Référence CVE CVE-2021-27065
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27065  
- Référence CVE CVE-2021-26412
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26412  
- Référence CVE CVE-2021-26854
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26854  
- Référence CVE CVE-2021-27078
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27078  
- [1] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/  
- [2] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901  
- [3] https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/  
- [4] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-004/  

AVIS CERTFR - 2021 - AVI - 279

16 avril 2021
actualite

Objet : Multiples vulnérabilités dans Microsoft EdgeRéférence : CERTFR-2021-AVI-279Risque(s)- Non spécifié par l'éditeurSystèmes affectés- Microsof... Lire la suite[+]

AVIS CERTFR - 2021 - AVI - 278

16 avril 2021
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de SUSERéférence : CERTFR-2021-AVI-278Risque(s) - Non spécifié par l'éditeur - Exécution de co... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC OIV
//amsn.gouv.mc/Alertes-CERT-MC/ALERTE-CERTFR-2021-ALE-004