Les solutions Exchange Online ne sont pas affect\u00e9es par les vuln\u00e9rabilit\u00e9s.
","closed_at":"2021-07-16","content":"## Contournement provisoire\n\n**\\[version du 16 mars 2021\\]**\n\nL' outil\u00a0*Exchange On-premises Mitigation Tool* (EOMT) fourni par\nMicrosoft le 15 mars 2021 a trois fonctions :\n\n- chercher \u00e0 emp\u00eacher les exploitations connues de la\n vuln\u00e9rabilit\u00e9\u00a0CVE-2021-26855 affectant les serveurs Exchange ;\n- rechercher sur le syst\u00e8me des traces connues d'exploitation gr\u00e2ce\n au\u00a0*Microsoft Safety Scanner* ;\n- tenter de rem\u00e9dier aux compromissions par certaines m\u00e9thodes connues\n ayant \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es par le\u00a0*Microsoft Safety Scanner*.\n\nMicrosoft insiste sur le fait que l'utilisation de ce script ne dispense\npas de l'installation de la mise \u00e0 jour et que cet outil ne prot\u00e8ge que\ncontre les menaces connues.\n\nMicrosoft pr\u00e9cise que cet outil a \u00e9t\u00e9 test\u00e9 sur les versions\u00a02013, 2016\net 2019 d'Exchange Server \\[9\\].\n\n## Solution\n\n**Pour rappel**, seuls les deux derniers Cumulative Update (CU) des\nserveurs Exchange en version 2013, 2016 et 2019 sont maintenus \u00e0 jour et\nre\u00e7oivent les correctifs de s\u00e9curit\u00e9.\n\nDes correctifs de s\u00e9curit\u00e9 sont donc disponibles pour :\n\n- Exchange Server 2013 CU 23\n- Exchange Server 2016 CU 19 et CU 18\n- Exchange Server 2019 CU 8 et CU 7\n- Exchange Server 2010 SP3 Rollup 30\n\nPour des versions ant\u00e9rieures, il faut appliquer les Cumulative Update\nou les Rollup pour Exchange 2010 en amont de l\u2019application du correctif.\nMicrosoft a publi\u00e9 une proc\u00e9dure accompagn\u00e9e d\u2019une Foire Aux Questions\n\\[2\\].\n\n------------------------------------------------------------------------\n\nLa mise \u00e0 jour d'un produit ou d'un logiciel est une op\u00e9ration d\u00e9licate\nqui doit \u00eatre men\u00e9e avec prudence. Il est notamment recommander\nd'effectuer des tests autant que possible. Des dispositions doivent\n\u00e9galement \u00eatre prises pour garantir la continuit\u00e9 de service en cas de\ndifficult\u00e9s lors de l'application des mises \u00e0 jour comme des correctifs\nou des changements de version.\n","cves":[{"name":"CVE-2021-26858","url":"https://www.cve.org/CVERecord?id=CVE-2021-26858"},{"name":"CVE-2021-27078","url":"https://www.cve.org/CVERecord?id=CVE-2021-27078"},{"name":"CVE-2021-26857","url":"https://www.cve.org/CVERecord?id=CVE-2021-26857"},{"name":"CVE-2021-26855","url":"https://www.cve.org/CVERecord?id=CVE-2021-26855"},{"name":"CVE-2021-27065","url":"https://www.cve.org/CVERecord?id=CVE-2021-27065"},{"name":"CVE-2021-26412","url":"https://www.cve.org/CVERecord?id=CVE-2021-26412"},{"name":"CVE-2021-26854","url":"https://www.cve.org/CVERecord?id=CVE-2021-26854"}],"links":[{"title":"[2]","url":"https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901"},{"title":"[9]","url":"https://github.com/microsoft/CSS-Exchange/tree/main/Security"},{"title":"Pr\u00e9sentation de l'outil Microsoft EOMT du 15 mars 2021","url":"https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/"},{"title":"Avis CERT-FR du 03 mars 2021","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-156/"},{"title":"[8]","url":"https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020"},{"title":"GitHub Microsoft CSS-Exchange","url":"https://github.com/microsoft/CSS-Exchange/tree/main/Security"},{"title":"[4]","url":"https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/"},{"title":"[3]","url":"https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/"},{"title":"[7]","url":"https://us-cert.cisa.gov/ncas/alerts/aa21-062a"},{"title":"[5]","url":"https://github.com/microsoft/CSS-Exchange/tree/main/Security"},{"title":"[6]","url":"https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/"},{"title":"[1]","url":"https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/"}],"reference":"CERTFR-2021-ALE-004","revisions":[{"description":"Version initiale","revision_date":"2021-03-03T00:00:00.000000"},{"description":"Clarification sur les syst\u00e8mes affect\u00e9s","revision_date":"2021-03-03T00:00:00.000000"},{"description":"Ajout des informations communiqu\u00e9es par Microsoft","revision_date":"2021-03-08T00:00:00.000000"},{"description":"Ajout des recommandations du CISA","revision_date":"2021-03-08T00:00:00.000000"},{"description":"Ajout des informations concernant les correctifs pour les anciens Cumulative Updates","revision_date":"2021-03-09T00:00:00.000000"},{"description":"Ajout de l'outil EOMT de Microsoft.","revision_date":"2021-03-16T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2021-07-16T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"\\[version du 16 mars 2021\\]\n\nle 15 mars 2021, Microsoft a publi\u00e9 un nouvel outil dont le but annonc\u00e9\nest d'aider leurs clients \u00e0 se prot\u00e9ger de l'exploitation de la\nvuln\u00e9rabilit\u00e9\u00a0CVE-2021-26855 affectant les serveurs de courrier Exchange\nen attendant l'application des mises \u00e0 jour\n[(https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/).](https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/)\n\nLes d\u00e9tails de cet outil sont d\u00e9velopp\u00e9s dans la section \"Contournement\nprovisoire\".\n\nLe CERT-FR souhaite cependant insister sur plusieurs points:\n\n- Cet outil ne prot\u00e8ge que contre une exploitation future de la\n vuln\u00e9rabilit\u00e9 CVE-2021-26855, en attendant l'application de la mise\n \u00e0 jour fournie le 2 mars 2021 ;\n- Les vuln\u00e9rabilit\u00e9s ayant \u00e9t\u00e9 exploit\u00e9es avant la publication des\n correctifs, puis de fa\u00e7on massive, tous les serveurs Exchange\n doivent \u00eatre consid\u00e9r\u00e9s comme compromis. L'utilisation de cet outil\n ne remplace pas l'\u00e9tape de recherche de compromission (voir les\n recommandations de cette alerte) ;\n- De plus en plus de codes d'exploitation sont publiquement\n disponibles. L'outil de Microsoft tente d'annuler certaines\n modifications malveillantes r\u00e9alis\u00e9es lors de l'exploitation de la\n vuln\u00e9rabilit\u00e9 CVE-2021-26855, mais cela ne fonctionne que pour une\n partie des codes d'exploitation connus.\n\n\\[version du 9 mars 2021\\]\n\nLe CERT-FR recommande fortement de toujours maintenir les serveurs\nExchange dans une version maintenue par l'\u00e9diteur, notamment en\nappliquant les derniers *Cumulative Updates (CU)*. Cependant, \u00e9tant\ndonn\u00e9 l'urgence de la situation, dans le cas o\u00f9 l'application d'un *CU*\nne peut pas se faire imm\u00e9diatement, l'\u00e9diteur a publi\u00e9 un correctif pour\nles anciens *CU* des versions Exchange 2016 et 2019\n[\\[8\\]](https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020).\n\nNote importante : Le CERT-FR insiste sur l'importance de bien suivre les\nrecommandations de l'\u00e9diteur pour l'application des correctifs : en\nparticulier, en cas d'installation manuelle du fichier .msp, il est\nobligatoire d'avoir les droits administrateur au moment de son\ninstallation.\n\n\\[version du 8 mars 2021\\]\n\nMicrosoft a publi\u00e9 un code\n[\\[5\\]](https://github.com/microsoft/CSS-Exchange/tree/main/Security)\npermettant de v\u00e9rifier la pr\u00e9sence des indicateurs de compromission\n(IoCs) li\u00e9s au mode op\u00e9ratoire *Hafnium*. Un d\u00e9tail de l'utilisation de\nce code est disponible dans la section *\"scan Exchange log files\"* de\nl\u2019article *\"HAFNIUM targeting Exchange Servers with 0-day exploits\"*\n[\\[1\\]](https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/).\n\nA d\u00e9faut d'appliquer le correctif imm\u00e9diatement, des mesures de\ncontournement provisoires ont \u00e9t\u00e9 propos\u00e9es par l'\u00e9diteur pour les\nversions 2013, 2016 et 2019 des serveurs Exchange\n[\\[6\\]](https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/).\nCependant, contrairement aux correctifs, ces mesures ont un impact sur\nles fonctionnalit\u00e9s des serveurs Exchange et ne garantissent pas une\nprotection compl\u00e8te contre ces vuln\u00e9rabilit\u00e9s.\n\nDe plus, dans le cas o\u00f9 l'application du correctif n'est pas imm\u00e9diate,\nle CISA recommande de restreindre les acc\u00e8s externes des plateformes\nExchange expos\u00e9es en appliquant les mesures suivantes\u00a0\n[\\[7\\]](https://us-cert.cisa.gov/ncas/alerts/aa21-062a) :\n\n- Bloquer les connections non v\u00e9rifi\u00e9es qui peuvent acc\u00e9der aux\n serveurs Exchange sur le port 443, ou mettre en place un VPN afin\n qu'il ne soit plus directement expos\u00e9 sur Internet ;\n- Restreindre les acc\u00e8s externes :\n - \u00c0 l'url OWA : /owa/ ;\n - \u00c0 l'url Exchange Admin Center (EAC) aka Exchange Control Panel\n (ECP) : /ecp/\n\nMicrosoft met en avant la forte augmentation de l'exploitation de ces\nquatre vuln\u00e9rabilit\u00e9s par des attaquants. Le CERT-FR rappelle donc le\nmotif urgent de la mise en place des correctifs de s\u00e9curit\u00e9, ou\nau moins la restriction des acc\u00e8s \u00e0 la plateforme ainsi que la mise en\nplace des mesures de contournement le temps d'appliquer ces correctifs.\n\n\u00a0\n\n\\[version initiale\\]\n\nLe 2 mars 2021, Microsoft a publi\u00e9 des correctifs concernant des\nvuln\u00e9rabilit\u00e9s critiques de type \u00ab\u00a0jour z\u00e9ro\u00a0\u00bb (zero day) affectant les\nserveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019.\n\nCes vuln\u00e9rabilit\u00e9s permettent \u00e0 un attaquant de r\u00e9aliser une ex\u00e9cution\nde code arbitraire \u00e0 distance, permettant d\u2019obtenir *in fine* les droits\nde l\u2019administrateur de domaine Active Directory.\n\n- CVE-2021-26855\u00a0: vuln\u00e9rabilit\u00e9 c\u00f4t\u00e9 serveur de type SSRF permettant\n \u00e0 l\u2018attaquant non authentifi\u00e9 d\u2019envoyer des requ\u00eates HTTP\n arbitraires qui seront ex\u00e9cut\u00e9es sous l\u2019identit\u00e9 du serveur\n Exchange.\n- CVE-2021-27065\u00a0: vuln\u00e9rabilit\u00e9 post-authentification permettant \u00e0\n l\u2019attaquant de pouvoir \u00e9crire un contenu arbitraire dans un fichier.\n Les droits d\u2019acc\u00e8s peuvent \u00eatre obtenus soit en exploitant la\n CVE-2021-26855 soit en compromettant les identifiants d\u2019un\n administrateur l\u00e9gitime.\n- CVE-2021-26857\u00a0: vuln\u00e9rabilit\u00e9 bas\u00e9e sur une faiblesse de la\n d\u00e9s\u00e9rialisation dans le service de messagerie unifi\u00e9e (Unified\n Messaging). Cette vuln\u00e9rabilit\u00e9 permet \u00e0 l\u2019attaquant de pouvoir\n ex\u00e9cuter du code arbitraire \u00e0 distance avec les privil\u00e8ges SYSTEM\n sur le serveur Exchange. L\u2019exploitation de cette vuln\u00e9rabilit\u00e9\n demande les droits administrateurs (ou l\u2019exploitation d\u2019une autre\n vuln\u00e9rabilit\u00e9).\n- CVE-2021-26858\u00a0: vuln\u00e9rabilit\u00e9 post-authentification permettant \u00e0\n l\u2019attaquant de pouvoir \u00e9crire un contenu arbitraire dans un fichier.\n Les droits d\u2019acc\u00e8s peuvent \u00eatre obtenus soit en exploitant la\n CVE-2021-26855 soit en compromettant les identifiants d\u2019un\n administrateur l\u00e9gitime.\n\nL\u2019\u00e9diteur indique que ces vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 exploit\u00e9es dans des\nattaques cibl\u00e9es qu'il attribue \u00e0 un groupe d\u2019attaquants appel\u00e9\n*Hafnium*\n[\\[1\\]](https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/).\nEn compl\u00e9ment, les chercheurs de Volexity indiquent avoir d\u00e9tect\u00e9 des\npremi\u00e8res attaques d\u00e8s janvier 2021\n[\\[4\\]](https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/).\n\nAu vu de la criticit\u00e9 de ces vuln\u00e9rabilit\u00e9s, l\u2019ANSSI recommande\nfortement de r\u00e9aliser les actions suivantes\u00a0:\n\n- d\u00e9connecter imm\u00e9diatement les serveurs Exchange qui seraient expos\u00e9s\n sur Internet sans protection le temps d\u2019appliquer les correctifs ;\n- appliquer imm\u00e9diatement les correctifs de s\u00e9curit\u00e9 fournis par\n l\u2019\u00e9diteur sur l\u2019ensemble des serveurs Exchange expos\u00e9s sur Internet\n puis en interne ;\n- proc\u00e9der \u00e0 l\u2019analyse des serveurs Exchange afin d\u2019identifier une\n possible compromission \u00e0 l\u2019aide des indicateurs de compromission\n publi\u00e9s par l\u2019\u00e9diteur\n [\\[1\\]](https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/)\u00a0et\n de Volexity\n [\\[4\\]](https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/).\n Une premi\u00e8re \u00e9tape consistera notamment \u00e0 effectuer une recherche\n d'ant\u00e9c\u00e9dents dans les logs des serveurs web de Outlook Web Access\n afin de d\u00e9celer d'\u00e9ventuelles requ\u00eates de type *POST* vers\n */owa/auth/Current/themes/resources/* ;\n- en cas de compromission, de contr\u00f4ler le syst\u00e8me d\u2019information pour\n d\u00e9tecter d\u2019\u00e9ventuelles lat\u00e9ralisations ainsi qu\u2019une compromission\n des serveurs Active Directory.\n\n\u00a0\n\nEnfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne\ndevraient pas \u00eatre expos\u00e9s sans protection sur Internet. Il est\nfortement recommand\u00e9 d\u2019appliquer les bonnes pratiques publi\u00e9es par\nl\u2019ANSSI pour le nomadisme\n[\\[3\\]](https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/).\n","title":"[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Exchange Server","vendor_advisories":[{"published_at":"2021-03-02","title":"Bulletin de s\u00e9curit\u00e9 Microsoft","url":"https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/"}]}