Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Exchange Server 2010
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Les solutions Exchange Online ne sont pas affectées par les vulnérabilités.
Résumé
[version du 16 mars 2021]
le 15 mars 2021, Microsoft a publié un nouvel outil dont le but annoncé est d'aider leurs clients à se protéger de l'exploitation de la vulnérabilité CVE-2021-26855 affectant les serveurs de courrier Exchange en attendant l'application des mises à jour (https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/).
Les détails de cet outil sont développés dans la section "Contournement provisoire".
Le CERT-FR souhaite cependant insister sur plusieurs points:
- Cet outil ne protège que contre une exploitation future de la vulnérabilité CVE-2021-26855, en attendant l'application de la mise à jour fournie le 2 mars 2021 ;
- Les vulnérabilités ayant été exploitées avant la publication des correctifs, puis de façon massive, tous les serveurs Exchange doivent être considérés comme compromis. L'utilisation de cet outil ne remplace pas l'étape de recherche de compromission (voir les recommandations de cette alerte) ;
- De plus en plus de codes d'exploitation sont publiquement disponibles. L'outil de Microsoft tente d'annuler certaines modifications malveillantes réalisées lors de l'exploitation de la vulnérabilité CVE-2021-26855, mais cela ne fonctionne que pour une partie des codes d'exploitation connus.
[version du 9 mars 2021]
Le CERT-FR recommande fortement de toujours maintenir les serveurs Exchange dans une version maintenue par l'éditeur, notamment en appliquant les derniers Cumulative Updates (CU). Cependant, étant donné l'urgence de la situation, dans le cas où l'application d'un CU ne peut pas se faire immédiatement, l'éditeur a publié un correctif pour les anciens CU des versions Exchange 2016 et 2019 [8].
Note importante : Le CERT-FR insiste sur l'importance de bien suivre les recommandations de l'éditeur pour l'application des correctifs : en particulier, en cas d'installation manuelle du fichier .msp, il est obligatoire d'avoir les droits administrateur au moment de son installation.
[version du 8 mars 2021]
Microsoft a publié un code [5] permettant de vérifier la présence des indicateurs de compromission (IoCs) liés au mode opératoire Hafnium. Un détail de l'utilisation de ce code est disponible dans la section "scan Exchange log files" de l’article "HAFNIUM targeting Exchange Servers with 0-day exploits" [1].
A défaut d'appliquer le correctif immédiatement, des mesures de contournement provisoires ont été proposées par l'éditeur pour les versions 2013, 2016 et 2019 des serveurs Exchange [6]. Cependant, contrairement aux correctifs, ces mesures ont un impact sur les fonctionnalités des serveurs Exchange et ne garantissent pas une protection complète contre ces vulnérabilités.
De plus, dans le cas où l'application du correctif n'est pas immédiate, le CISA recommande de restreindre les accès externes des plateformes Exchange exposées en appliquant les mesures suivantes [7] :
- Bloquer les connections non vérifiées qui peuvent accéder aux serveurs Exchange sur le port 443, ou mettre en place un VPN afin qu'il ne soit plus directement exposé sur Internet ;
-
Restreindre les accès externes :
- À l'url OWA : /owa/ ;
- À l'url Exchange Admin Center (EAC) aka Exchange Control Panel (ECP) : /ecp/
Microsoft met en avant la forte augmentation de l'exploitation de ces quatre vulnérabilités par des attaquants. Le CERT-FR rappelle donc le motif urgent de la mise en place des correctifs de sécurité, ou au moins la restriction des accès à la plateforme ainsi que la mise en place des mesures de contournement le temps d'appliquer ces correctifs.
[version initiale]
Le 2 mars 2021, Microsoft a publié des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero day) affectant les serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019.
Ces vulnérabilités permettent à un attaquant de réaliser une exécution de code arbitraire à distance, permettant d’obtenir in fine les droits de l’administrateur de domaine Active Directory.
- CVE-2021-26855 : vulnérabilité côté serveur de type SSRF permettant à l‘attaquant non authentifié d’envoyer des requêtes HTTP arbitraires qui seront exécutées sous l’identité du serveur Exchange.
- CVE-2021-27065 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.
- CVE-2021-26857 : vulnérabilité basée sur une faiblesse de la désérialisation dans le service de messagerie unifiée (Unified Messaging). Cette vulnérabilité permet à l’attaquant de pouvoir exécuter du code arbitraire à distance avec les privilèges SYSTEM sur le serveur Exchange. L’exploitation de cette vulnérabilité demande les droits administrateurs (ou l’exploitation d’une autre vulnérabilité).
- CVE-2021-26858 : vulnérabilité post-authentification permettant à l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier. Les droits d’accès peuvent être obtenus soit en exploitant la CVE-2021-26855 soit en compromettant les identifiants d’un administrateur légitime.
L’éditeur indique que ces vulnérabilités ont été exploitées dans des attaques ciblées qu'il attribue à un groupe d’attaquants appelé Hafnium [1]. En complément, les chercheurs de Volexity indiquent avoir détecté des premières attaques dès janvier 2021 [4].
Au vu de la criticité de ces vulnérabilités, l’ANSSI recommande fortement de réaliser les actions suivantes :
- déconnecter immédiatement les serveurs Exchange qui seraient exposés sur Internet sans protection le temps d’appliquer les correctifs ;
- appliquer immédiatement les correctifs de sécurité fournis par l’éditeur sur l’ensemble des serveurs Exchange exposés sur Internet puis en interne ;
- procéder à l’analyse des serveurs Exchange afin d’identifier une possible compromission à l’aide des indicateurs de compromission publiés par l’éditeur [1] et de Volexity [4]. Une première étape consistera notamment à effectuer une recherche d'antécédents dans les logs des serveurs web de Outlook Web Access afin de déceler d'éventuelles requêtes de type POST vers /owa/auth/Current/themes/resources/ ;
- en cas de compromission, de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.
Enfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne devraient pas être exposés sans protection sur Internet. Il est fortement recommandé d’appliquer les bonnes pratiques publiées par l’ANSSI pour le nomadisme [3].
Contournement provisoire
[version du 16 mars 2021]
L' outil Exchange On-premises Mitigation Tool (EOMT) fourni par Microsoft le 15 mars 2021 a trois fonctions :
- chercher à empêcher les exploitations connues de la vulnérabilité CVE-2021-26855 affectant les serveurs Exchange ;
- rechercher sur le système des traces connues d'exploitation grâce au Microsoft Safety Scanner ;
- tenter de remédier aux compromissions par certaines méthodes connues ayant été révélées par le Microsoft Safety Scanner.
Microsoft insiste sur le fait que l'utilisation de ce script ne dispense pas de l'installation de la mise à jour et que cet outil ne protège que contre les menaces connues.
Microsoft précise que cet outil a été testé sur les versions 2013, 2016 et 2019 d'Exchange Server [9].
Solution
Pour rappel, seuls les deux derniers Cumulative Update (CU) des serveurs Exchange en version 2013, 2016 et 2019 sont maintenus à jour et reçoivent les correctifs de sécurité.
Des correctifs de sécurité sont donc disponibles pour :
- Exchange Server 2013 CU 23
- Exchange Server 2016 CU 19 et CU 18
- Exchange Server 2019 CU 8 et CU 7
- Exchange Server 2010 SP3 Rollup 30
Pour des versions antérieures, il faut appliquer les Cumulative Update ou les Rollup pour Exchange 2010 en amont de l’application du correctif. Microsoft a publié une procédure accompagnée d’une Foire Aux Questions [2].
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommander d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version.
Documentation
- Bulletin de sécurité Microsoft du 02 mars 2021 https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
- [1] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
- [2] https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
- [3] https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
- [4] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
- [5] https://github.com/microsoft/CSS-Exchange/tree/main/Security
- [6] https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
- [7] https://us-cert.cisa.gov/ncas/alerts/aa21-062a
- [8] https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020
- [9] https://github.com/microsoft/CSS-Exchange/tree/main/Security
- Avis CERT-FR du 03 mars 2021 https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-156/
- GitHub Microsoft CSS-Exchange https://github.com/microsoft/CSS-Exchange/tree/main/Security
- Présentation de l'outil Microsoft EOMT du 15 mars 2021 https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/
- Référence CVE CVE-2021-26412 https://www.cve.org/CVERecord?id=CVE-2021-26412
- Référence CVE CVE-2021-26854 https://www.cve.org/CVERecord?id=CVE-2021-26854
- Référence CVE CVE-2021-26855 https://www.cve.org/CVERecord?id=CVE-2021-26855
- Référence CVE CVE-2021-26857 https://www.cve.org/CVERecord?id=CVE-2021-26857
- Référence CVE CVE-2021-26858 https://www.cve.org/CVERecord?id=CVE-2021-26858
- Référence CVE CVE-2021-27065 https://www.cve.org/CVERecord?id=CVE-2021-27065
- Référence CVE CVE-2021-27078 https://www.cve.org/CVERecord?id=CVE-2021-27078