Zero-day Exchange : Microsoft donne des précisions et confirme la présence d’attaques !
Microsoft a publié des informations supplémentaires au sujet des failles zero-day dans Microsoft Exchange. Faisons le point.
Désormais, ces deux failles de sécurité zero-day Exchange ont une référence CVE associée et nous savons quelles sont les versions de Microsoft Exchange affectées : Microsoft Exchange 2013, Microsoft Exchange 2016, et Microsoft Exchange 2019. À chaque fois, toutes les versions sont affectées, c'est-à-dire peu importe le "CU" qui est installé.
Sur son site, Microsoft précise : "La première vulnérabilité, identifiée comme CVE-2022-41040, est une vulnérabilité de type SSRF (Server-Side Request Forgery), tandis que la seconde, identifiée comme CVE-2022-41082, permet l'exécution de code à distance (RCE) lorsque PowerShell est accessible à l'attaquant". En résumé, nous avons donc :
- CVE-2022-41040 : faille de type injection de requêtes forgées côté serveur exploitable par un attaquant authentifié
- CVE-2022-41082 : faille permettant l'exécution de code arbitraire à distance pour un attaquant authentifié
D'après Microsoft, et c'est une précision importante, il convient d'être authentifié pour compromettre le serveur de messagerie Microsoft Exchange en exploitant ces deux vulnérabilités. Une attaque passe par l'exploitation des deux vulnérabilités, car la faille CVE-2022-41040 peut permettre à un attaquant d'exploiter la faille CVE-2022-41082 à distance, grâce à une requête malveillante.
L'entreprise américaine a confirmé que ces vulnérabilités étaient utilisées dans le cadre d'attaques.
Comment protéger son serveur Exchange ?
Au sein de son article lié à ces failles de sécurité, Microsoft a mis en ligne des indications pour permettre aux entreprises de se protéger. Tout d'abord, la firme de Redmond a repris la solution proposée par la société GTSC, à savoir bloquer certaines requêtes sur le serveur IIS.
Même si tout cela est détaillé sur le site de Microsoft (avec des images plus ou moins visibles), voici en résumé :
1 - Sur le serveur Autodiscover frontend, ouvrez la console IIS, accédez au module URL Rewrite et Request Blocking (blocage de requêtes).
2 - Ajoutez la chaîne ".*autodiscover\.json.*\@.*Powershell.*" pour le chemin de l'URL
3 - Choisissez la condition d'entrée (input) suivante : {REQUEST_URI}
Si vous utilisez Microsoft Exchange, il est recommandé de mettre en place cette mesure protectrice dès que possible. Pour vous aider, Microsoft a mis en ligne son script "EOMTv2" sur GitHub.
Pour les administrateurs qui souhaitent vérifier si leur serveur Exchange a déjà été compromis, voici la commande PowerShell à exécuter (en précisant le chemin vers les journaux IIS, qui est par défaut "%SystemDrive%\inetpub\logs\LogFiles") :
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200
Ceci permet d'analyser les logs de IIS à la recherche d'une requête malveillante qui serait le signe d'une tentative d'exploitation.
En complément, et ça c'est nouveau par rapport aux informations publiées en fin de semaine dernière, Microsoft recommande de bloquer les ports associées à WinRM et à la gestion à distance via PowerShell, à savoir :
- HTTP : 5985
- HTTPS : 5986
L'objectif étant d'éviter que l'attaquant puisse accéder au serveur à distance via PowerShell, car ceci est possible en exploitant ces deux vulnérabilités.
Bientôt un correctif officiel ?
Le prochain Patch Tuesday sera mis en ligne par Microsoft le mardi 11 octobre 2022. Mais, il y a des chances pour qu'un correctif soit mis en ligne avant cette date afin de permettre aux entreprises de sécuriser leur serveur de messagerie dès que possible.
