Origine: bjCSIRT

Numéro: 2021/ALERTE/007

Date de l’alerte: 03/03/2021

APERÇU :

Quatre (04) vulnérabilités critiques de type « 0-day » activement exploitées offrent la possibilité à des attaquants malicieux de prendre contrôle des serveurs Exchange et de compromettre la messagerie électronique.

DESCRIPTION :

Les vulnérabilités récemment exploitées sont libellées CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, et CVE-2021-27065, et affectent les déploiements de Microsoft Exchange sur site.

L’attaque en trois étapes consiste à accéder à un serveur Exchange soit avec des mots de passe volés, soit en utilisant des vulnérabilités de type 0-day, puis à déployer un « shell web » pour contrôler à distance le serveur compromis. Le dernier maillon de la chaîne d’attaque utilise l’accès à distance pour piller les boîtes aux lettres du réseau d’une organisation et exporter les données collectées. Ci-dessous, les détails concernant les quatre vulnérabilités.

CVE-2021-26855 : est une vulnérabilité de type SSRF (Server-Side Request Forgery) dans Exchange qui permettrait à l’attaquant d’envoyer des requêtes HTTP arbitraires et de s’authentifier comme étant le serveur Exchange.

CVE-2021-26857 : est une vulnérabilité de désérialisation non sécurisée (de données non fiables et contrôlables par l’utilisateur) dans le service de messagerie unifiée. L’exploitation de cette vulnérabilité a permis aux attaquants d’exécuter du code en tant qu’utilisateur SYSTEME sur le serveur Exchange.

CVE-2021-26858 et CVE-2021-27065 : sont des failles d’écriture de fichier arbitraire post-authentification dans Exchange. Après s’être authentifié auprès du serveur Exchange (en exploitant la vulnérabilité SSRF CVE-2021-26855), l’attaquant pourrait utiliser cette faille pour écrire un fichier dans n’importe quel chemin d’accès du serveur.

IMPACT :

  • Exécution de code à distance sur la machine affectée
  • Compromission entière du serveur Exchange (et aussi des boîtes mails)

SYSTEMES AFFECTÉS :

Les vulnérabilités citées ci-dessus ont toutes un impact sur les serveurs Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 et Microsoft Exchange Server 2019.

MESURES À PRENDRE :

Il est impératif d’appliquer en urgence les différentes mises à jour de sécurité (KB5000871).

REFERENCES :

  • https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
  • https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
  • https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
  • https://thehackernews.com/2021/03/urgent-4-actively-exploited-0-day-flaws.html