Messagerie

Les mesures d’atténuation des risques de zero-day du serveur Microsoft Exchange peuvent être contournées

Par Philippe Ternision , le 4 octobre 2022 , mis à jour le 4 octobre 2022 - 5 minutes de lecture
exchange faille 2022
AccueilMessagerieLes mesures d’atténuation des risques de zero-day du serveur Microsoft Exchange peuvent être contournées
5/5 - (1 vote)

Deux nouvelles vulnérabilités zero-day de Microsoft Exchange, suivies comme CVE-2022-41040 et CVE-2022-41082, ont des atténuations publiées par Microsoft, bien que les experts avertissent que l’atténuation pour les systèmes sur site est insuffisante.

Ces deux problèmes de type “zero-day” sont déjà combinés par des acteurs de la menace dans des campagnes en cours visant à compromettre les serveurs Microsoft Exchange et à exécuter du code à distance.

La société vietnamienne de cybersécurité GTSC a révélé les deux faiblesses de sécurité dans le cadre du programme Zero Day Initiative il y a environ trois semaines, et a mis ces informations à la disposition du grand public la semaine dernière.

Des mesures d’atténuation trop spécifiques

Vendredi, Microsoft a reconnu l’existence des deux problèmes et a déclaré qu’elle était “au courant d’attaques ciblées limitées” qui les exploitaient.

Microsoft a proposé des mesures d’atténuation pour les systèmes sur site dans le cadre d’un avis, et il a été vivement conseillé aux clients d’Exchange Server de “limiter l’accès à distance à PowerShell pour les utilisateurs non administrateurs” au sein de l’entreprise.

Microsoft a suggéré d’utiliser une règle dans IIS Manager pour restreindre les modèles d’attaque connus afin de réduire les risques d’exploitation :

  1. Ouvrez le gestionnaire IIS.
  2. Sélectionnez Default Web Site.
  3. Dans la vue** des fonctionnalités**, cliquez sur URL Rewrite.
  4. Dans le volet Actions sur le côté droit, cliquez sur Ajouter des règles…..
  5. Sélectionnez** Request Blocking** et cliquez sur OK.
  6. Ajoutez la chaîne “.autodiscover.json.*@.*Powershell.“(sans les guillemets), puis cliquez sur OK.
  7. Développez la règle et sélectionnez la règle avec le motif “autodiscover.json.*@.*Powershell.“et cliquez sur Editer sous Conditions.
  8. Modifiez l’entrée de la condition de {URL} en {REQUEST_URI}

L’outil révisé de Microsoft, Exchange On-premises Mitigation Tool, un script qui nécessite PowerShell 3 ou une version ultérieure, doit être exécuté avec des informations d’identification d’administrateur et fonctionne sur IIS 7.5 ou une version plus récente, peut aider les administrateurs à obtenir le même résultat.

Toutefois, le modèle d’URL n’est applicable qu’aux attaques connues selon les critères recommandés par Microsoft.

Dans un tweet publié aujourd’hui, le chercheur en sécurité Jang démontre que le correctif temporaire de Microsoft pour contrecarrer l’utilisation de CVE-2022-41040 et CVE-2022-41082 est inefficace et facilement contournable.

Bypassing Microsoft mitigations for CVE-2022-41040 and CVE-2022-41082

Selon Will Dormann, analyste principal des vulnérabilités chez ANALYGENCE, le “@” dans le bloc URL de Microsoft “semble trop précis, et par conséquent insuffisant.” Il est d’accord avec cette conclusion.

Les chercheurs de GTSC ont vérifié dans une vidéo aujourd’hui que les mesures d’atténuation de Microsoft sont insuffisamment protectrices après avoir testé la découverte de Jang.

Jang a proposé un substitut moins précis au bloc d’URL proposé par Microsoft, qui couvrirait un plus large éventail d’attaques :

Déploiements hybrides à risque

Microsoft indique dans ses avis concernant les deux vulnérabilités que les clients d’Exchange Online n’ont pas besoin de prendre de mesures et que les instructions d’atténuation s’appliquent uniquement aux utilisateurs d’Exchange Server sur site.

Cependant, de nombreuses entreprises combinent le déploiement sur site de Microsoft Exchange avec le déploiement en nuage, et elles doivent savoir que cela les rend également vulnérables.

L’expert en sécurité Kevin Beaumont prévient dans une vidéo publiée aujourd’hui que l’entreprise est vulnérable tant qu’Exchange Server est installé sur site.

Un arrangement hybride d’Exchange est “très typique” dans les environnements d’entreprise, selon Beaumont, qui désigne la chaîne d’attaque sous le nom de ProxyNotShell, et ces environnements devraient prendre en compte le niveau de risque auquel ils sont exposés.

Plus de 1 200 de ces organisations rendent leurs déploiements hybrides accessibles au public en ligne. Il s’agit notamment d’organisations des secteurs de l’administration, de l’éducation et de la finance – autant de cibles extrêmement désirables pour les pirates menant des opérations d’espionnage ou d’extorsion.

Un correctif est encore à venir

Au moment de la publication, Microsoft n’a pas encore fourni de mise à jour pour résoudre les deux problèmes, mais elle a publié des avertissements de sécurité qui décrivent l’impact et les conditions préalables à l’exploitation.

Selon Microsoft, CVE-2022-41040 est une vulnérabilité à haut risque (niveau de gravité 8,8/10) qu’un pirate peut simplement exploiter pour obtenir un accès supplémentaire à la machine vulnérable à l’insu de l’utilisateur.

Comme l’acteur de la menace doit être vérifié, le niveau de gravité de ce problème de sécurité n’est pas plus élevé.

Bien que CVE-2022-41082 ait le même niveau de gravité élevé, elle peut être exploitée à distance par un pirate disposant de “privilèges permettant des capacités utilisateur de base” sur des serveurs Microsoft Exchange sur site non sécurisés (paramètres et fichiers appartenant à l’utilisateur).

Source

Vues 121

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.