ALERTE CERTFR - 2021 - ALE - 004

Multiples vulnérabilités dans Microsoft Exchange Server

CERTFR-2021-ALE-004

• Exécution de code arbitraire à distance

• Microsoft Exchange Server 2010
• Microsoft Exchange Server 2013
• Microsoft Exchange Server 2016
• Microsoft Exchange Server 2019

Le 2 mars 2021, Microsoft a publié des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero day) affectant les serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019.

Ces vulnérabilités permettent à un attaquant de réaliser une exécution de code arbitraire à distance, permettant d’obtenir in fine les droits de l’administrateur de domaine Active Directory.

• CVE-2021-26855 : vulnérabilité côté serveur de type SSRF permettant à l‘attaquant non authentifié d’envoyer des requêtes HTTP arbitraires qui seront exécutées sous l’identité du serveur Exchange.
• CVE-2021-27065 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.
• CVE-2021-26857 : vulnérabilité basée sur une faiblesse de la désérialisation dans le service de messagerie unifiée (Unified Messaging). Cette vulnérabilité permet à l’attaquant de pouvoir exécuter du code arbitraire à distance avec les privilèges SYSTEM sur le serveur Exchange. L’exploitation de cette vulnérabilité demande les droits administrateurs (ou l’exploitation d’une autre vulnérabilité).
• CVE-2021-26858 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.

L’éditeur indique que ces vulnérabilités ont été exploitées dans des attaques ciblées qu'il attribue à un groupe d’attaquants appelé Hafnium [1]. En complément, les chercheurs de Volexity indiquent avoir détecté des premières attaques dès janvier 2021 [4].

Au vu de la criticité de ces vulnérabilités, l’ANSSI recommande fortement de réaliser les actions suivantes :

• déconnecter immédiatement les serveurs Exchange qui seraient exposés sur Internet sans protection le temps d’appliquer les correctifs ;
• appliquer immédiatement les correctifs de sécurité fournis par l’éditeur sur l’ensemble des serveurs Exchange exposés sur Internet puis en interne ;
• procéder à l’analyse des serveurs Exchange afin d’identifier une possible compromission à l’aide des indicateurs de compromission publiés par l’éditeur [1] et de Volexity [4]. Une première étape consistera notamment à effectuer une recherche d'antécédents dans les logs des serveurs web de Outlook Web Access afin de déceler d'éventuelles requêtes de type POST vers /owa/auth/Current/themes/resources/ ;
• en cas de compromission, de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.

Enfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne devraient pas être exposés sans protection sur Internet. Il est fortement recommandé d’appliquer les bonnes pratiques publiées par l’ANSSI pour le nomadisme [3].

Pour rappel, seuls les deux derniers Cumulative Update (CU) des serveurs Exchange en version 2013, 2016 et 2019 sont maintenus à jour et reçoivent les correctifs de sécurité.

Des correctifs de sécurité sont donc disponibles pour :

• Exchange Server 2013 CU 23
• Exchange Server 2016 CU 19 et CU 18
• Exchange Server 2019 CU 8 et CU 7
• Exchange Server 2010 SP3 Rollup 30

Pour des versions antérieures, il faut appliquer les Cumulative Update ou les Rollup pour Exchange 2010 en amont de l’application du correctif. Microsoft a publié une procédure accompagnée d’une Foire Aux Questions [2].

• Bulletin de sécurité Microsoft du 02 mars 2021: https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ 
• Avis CERT-FR du 03 mars 2021: https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-156/ 
• Référence CVE CVE-2021-26855 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26855 
• Référence CVE CVE-2021-26857 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26857 
• Référence CVE CVE-2021-26858 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26858 
• Référence CVE CVE-2021-27065 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27065 
• Référence CVE CVE-2021-26412 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26412 
• Référence CVE CVE-2021-26854 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26854 
• Référence CVE CVE-2021-27078 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27078 
• [1] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ 
• [2] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901 
• [3] https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/ 
• [4] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/ 

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-004/