{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Exchange Server versions 2010 et ult\u00e9rieures d\u00e9ploy\u00e9es en utilisant un mod\u00e8le d'autorisation de type RBAC (le mod\u00e8le d\u2019autorisation de type AD Split n'est pas impact\u00e9).","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2019-03-06","content":"## Solution\n\nLe 12 f\u00e9vrier 2019, Microsoft a publi\u00e9 un correctif de s\u00e9curit\u00e9 int\u00e9gr\u00e9\ndans une mise \u00e0 jour cumulative et en a d\u00e9taill\u00e9 les modalit\u00e9s\nd'installation dans un billet de blogue \\[5\\].\n\nMicrosoft indique avoir effectu\u00e9 des changements profonds dans\nl\u2019authentification des\u00a0*Exchange Web Services (EWS) Push\nNotifications*.\u00a0 Ces changements ont \u00e9t\u00e9 test\u00e9s sur des applicatifs\ncourants sans qu'aucun effet de bord n'ait \u00e9t\u00e9 constat\u00e9. Les pr\u00e9cautions\nd'usage sont \u00e0 respecter avant une mise en production. Cette mise \u00e0 jour\nest consid\u00e9r\u00e9e critique et devrait \u00eatre appliqu\u00e9e dans les plus brefs\nd\u00e9lais.\n\nIl est ensuite recommand\u00e9 de r\u00e9initialiser les identifiants des serveurs\nExchange qui sont stock\u00e9s dans l'Active Directory, soit par le biais de\nla\ncmdlet\u00a0[Reset-ComputerMachinePassword](https://docs.microsoft.com/powershell/module/microsoft.powershell.management/reset-computermachinepassword?view=powershell-5.1),\nsoit par\u00a0[netdom ou Active Directory Users and\nComputers](https://support.microsoft.com/help/216393/resetting-computer-accounts-in-windows)\nsi Powershell n'est pas disponible.\n\nLes droits d'Exchange dans l'Active Directory ont \u00e9galement \u00e9t\u00e9 r\u00e9duits\nen modifiant les descripteurs de s\u00e9curit\u00e9 \u00e0 la racine du domaine. Se\nr\u00e9f\u00e9rer au billet de Microsoft pour le s\u00e9quencement ainsi que les\nparam\u00e8tres \u00e0 utiliser pour appliquer la mise \u00e0 jour.\n\nLe 13 f\u00e9vrier 2019, le CERT-FR a publi\u00e9 l'avis de\ns\u00e9curit\u00e9\u00a0CERTFR-2019-AVI-065 \\[6\\].\n\n## Contournement provisoire\n\nAfin de limiter les risques d'escalade de privil\u00e8ge selon le sc\u00e9nario\nd\u00e9crit ci-dessus, le CERT-FR recommande d'appliquer les mesures\nsuivantes:\n\n1.  Filtrer les flux initi\u00e9s par les serveurs *Microsoft Exchange*.  \n    Il convient de filtrer les flux initi\u00e9s depuis les serveurs Exchange\n    vers les autres machines du r\u00e9seau, notamment vers les postes de\n    travail des utilisateurs. De mani\u00e8re g\u00e9n\u00e9rale, seuls les flux\n    n\u00e9cessaires au bon fonctionnement doivent \u00eatre autoris\u00e9s (DC,\n    Exchanges, etc.).\n2.  Modifier le descripteur de s\u00e9curit\u00e9 \u00e0 la racine du domaine *Active\n    Directory*, en ajoutant l'attribut \"*Inherit_only*\" sur les access\n    control entities (ACE) dangereuses \\[2\\]. Ces ACE permettent la\n    modification du descripteur de s\u00e9curit\u00e9 *(WRITE_DAC)* du domaine.\n    Cette modification bien que simple et r\u00e9versible n'est toutefois pas\n    support\u00e9e par Microsoft.\n\nIl est \u00e9galement possible de v\u00e9rifier une \u00e9ventuelle tentative\nd'exploitation en consultant les journaux EWS \\[3\\].\n\nComme tout \u00e9l\u00e9ment de contournement, il est important d'\u00eatre prudent\nlors de la mise en \u0153uvre. Il est \u00e0 noter que l'ensemble des \u00e9l\u00e9ments\nrecommand\u00e9s \u00e0 ce jour est r\u00e9versible.\n\nLe 5 f\u00e9vrier 2019, Microsoft a publi\u00e9 un bulletin de s\u00e9curit\u00e9 relatif \u00e0\nla vuln\u00e9rabilit\u00e9 d'\u00e9l\u00e9vation de privil\u00e8ges dans *Microsoft Exchange.* Ce\nbulletin pr\u00e9sente une m\u00e9thode de contournement provisoire bas\u00e9e sur la\nd\u00e9finition d'une politique limitant le processus de notifications EWS\n\\[4\\].\n","cves":[],"links":[{"title":"[5] Billet de blogue Microsoft du 12 f\u00e9vrier 2019","url":"https://blogs.technet.microsoft.com/exchange/2019/02/12/released-february-2019-quarterly-exchange-updates/"},{"title":"[6] Avis CERT-FR CERTFR-2019-AVI-065 Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Exchange","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-065/"},{"title":"[1] Billet de blogue de M. Mollema","url":"https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/"},{"title":"[2] Script pour modifier la DACL et ajouter l'attribut \"Inherit_only\"","url":"https://github.com/gdedrouas/Exchange-AD-Privesc/blob/master/DomainObject/DomainObject.md"},{"title":"[3] Journaux EWS","url":"https://ingogegenwarth.wordpress.com/2017/01/12/troubleshooting-exchange-with-logparser-ews-logs/"}],"reference":"CERTFR-2019-ALE-002","revisions":[{"description":"Version initiale","revision_date":"2019-01-30T00:00:00.000000"},{"description":"mise \u00e0 jour des contournements provisoires et ajout d'un bulletin Microsoft","revision_date":"2019-02-06T00:00:00.000000"},{"description":"Publication d'une mise \u00e0 jour de s\u00e9curit\u00e9 et ajout de l'avis CERTFR-2019-AVI-065","revision_date":"2019-02-13T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte.","revision_date":"2019-03-06T00:00:00.000000"}],"risks":[{"description":"\u00c9l\u00e9vation de privil\u00e8ges"}],"summary":"<strong>\\[Mise \u00e0 jour du 13/02/2019 : publication d'un correctif de s\u00e9curit\u00e9\net de recommandations de la part de Microsoft, ainsi que d'un avis de\ns\u00e9curit\u00e9 du CERT-FR (cf. section Documentation)\\]</strong>\n\n<strong>\\[Mise \u00e0 jour du 06/02/2019 : mise \u00e0 jour des contournements\nprovisoires et ajout d'un bulletin Microsoft (cf. section\nDocumentation)\\]</strong>\n\nLe 21 janvier, un chercheur a r\u00e9v\u00e9l\u00e9 publiquement une vuln\u00e9rabilit\u00e9 de\ntype \u00e9l\u00e9vation de privil\u00e8ges sur l'\u00e9cosyst\u00e8me *Microsoft Exchange* et\n*Active Directory*\\[1\\].\n\nUn ensemble de faiblesses connues ont \u00e9t\u00e9 combin\u00e9es afin de permettre \u00e0\nun \"utilisateur standard\"\u00a0du domaine d'\u00e9lever ses privil\u00e8ges jusqu'au\nniveau \"administrateur de domaine\". L'auteur de ce blogue fournit \u00e0 la\nfois les \u00e9l\u00e9ments techniques et les codes d'exploitation.\n\nTrois faiblesses sont utilis\u00e9es :\n\n1.  *Microsoft Exchange* supporte l'API *<a\n    href=\"https://docs.microsoft.com/en-us/previous-versions/office/developer/exchange-server-2010/dd877045(v%3Dexchg.140)\"\n    target=\"_blank\" rel=\"noopener\">Exchange Web Services</a>* (EWS),\n    dont l'une des fonctions est *<a\n    href=\"https://docs.microsoft.com/pt-br/dotnet/api/microsoft.exchange.webservices.data.pushsubscription?view=exchange-ews-api\"\n    target=\"_blank\" rel=\"noopener\">PushSubscription</a>.* Celle-ci\u00a0\n    permet \u00e0 un \"utilisateur standard\" de demander au serveur *Microsoft\n    Exchange* d'initier des communications authentifi\u00e9es \u00e0 destination\n    d'une ressource qu'il ma\u00eetrise ;\n2.  par conception, l'authentification NTLM permet des attaques de type\n    relai ;\n3.  les comptes machines des serveurs *Microsoft Exchange* disposent\n    d'un haut niveau de privil\u00e8ge sur l'*Active Directory \\[2\\]*.\n\nL'attaquant peut obtenir, depuis sa ressource ma\u00eetris\u00e9e, une\nauthentification valide d'un compte machine d'un serveur *Microsoft\nExchange* (1.).\n\nUne fois cette \u00e9tape franchie, il peut relayer cette authentification\naupr\u00e8s d'un contr\u00f4leur de domaine *Active Directory* (2.).\n\nLes droits d'acc\u00e8s de ce compte permet ensuite de modifier les\npermissions appliqu\u00e9es au domaine et d'obtenir les droits\n\"administrateur de domaine\" du domaine\u00a0*Active Directory* (3.).\n","title":"Vuln\u00e9rabilit\u00e9s affectant l'\u00e9cosyst\u00e8me Microsoft Exchange et Active Directory","vendor_advisories":[{"published_at":null,"title":"[4] Bulletin de s\u00e9curit\u00e9 Microsoft ADV190007 du 5 f\u00e9vrier 2019","url":"https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv190007"}]}