Accueil > Alertes CERT-MC > AVIS CERTFR - 2022 - ALE - 008

AVIS CERTFR - 2022 - ALE - 008

Objet : Multiples vulnérabilités dans Microsoft Exchange

Référence : CERTFR-2022-ALE-008

Risque(s)

- Exécution de code arbitraire à distance
- Injection de requêtes forgées côté serveur (Server-side request forgery)

Systèmes affectés

- Microsoft Exchange Serveur 2013 toutes versions
- Microsoft Exchange Serveur 2016 toutes versions
- Microsoft Exchange Serveur 2019 toutes versions

Résumé

En date du 29 septembre 2022, Microsoft a indiqué l'existence de deux vulnérabilités, de type zéro-jour, au sein de Windows Exchange 2013, 2016 et 2019.

Ces vulnérabilités sont les suivantes :

- CVE-2022-41040 : Vulnérabilité de type injection de requêtes forgées côté serveur (Server Side Request Forgery, SSRF) exploitable par un attaquant authentifié ;
- CVE-2022-41082 : Vulnérabilité permettant à un attaquant authentifié d'exécuter du code arbitraire à distance.

Dans le cadre d'une attaque, la CVE-2022-41040 peut permettre à un attaquant d'exploiter à distance la CVE-2022-41082. Selon l'éditeur, ces deux vulnérabilités ne sont exploitables que si l'attaquant est déjà authentifié. Un correctif spécifique est en cours de développement par Microsoft.

Ces vulnérabilités doivent faire l'objet d'une prise en compte immédiate, car elles ont été utilisées dans le cadre d'attaques ciblées. Le CERT-FR n'a pour le moment pas connaissance des conditions ayant permis aux attaquants d'obtenir un accès authentifié sur les serveurs ciblés.

Cette alerte sera actualisée dès que possible.

Contournement provisoire

En attendant la publication des correctifs, le CERT-FR recommande d'appliquer immédiatement les mesures d'atténuation proposées par Microsoft [1].

Détection

Le billet de blogue de l'éditeur documente quelques éléments d'aide à la détection de ces vulnérabilités [1].

Documentation

- [1] Billet de blog Microsoft du 29 septembre 2022
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/  
- Référence CVE CVE-2022-41040
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41040  
- Référence CVE CVE-2022-41082
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41082  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-008/  

 

 

AVIS CERTFR - 2022 - AVI - 1058

28 novembre 2022
actualite

Objet : [SCADA] Vulnérabilité dans les produits MoxaRéférence : CERTFR-2022-AVI-1058Risque(s)- Déni de service à distanceSystèmes affectés - Moxa E... Lire la suite[+]

AVIS CERTFR - 2022 - AVI - 1057

25 novembre 2022
actualite

Objet : Multiples vulnérabilités dans les produits NextcloudRéférence : CERTFR-2022-AVI-1057Risque(s) - Atteinte à l'intégrité des données - Attein... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Demande d'autorisation loi n°1.383
Conseils élémentaires
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2022-ALE-008