{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"","closed_at":"2022-05-04","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2021-31207","url":"https://www.cve.org/CVERecord?id=CVE-2021-31207"},{"name":"CVE-2021-34473","url":"https://www.cve.org/CVERecord?id=CVE-2021-34473"},{"name":"CVE-2021-34523","url":"https://www.cve.org/CVERecord?id=CVE-2021-34523"}],"links":[{"title":"[2] Avis de s\u00e9curit\u00e9\u00a0CERTFR-2021-AVI-522 du 15 juillet 2021","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-522/"},{"title":"[5] Guide de s\u00e9curit\u00e9 de l'ANSSI","url":"https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/"},{"title":"[3] Bulletin d'actualit\u00e9 CERTFR-2021-ACT-030 du 19 juillet 2021","url":"https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-030/"},{"title":"[1] Bulletin d'actualit\u00e9 CERTFR-2021-ACT-035 du 12 ao\u00fbt 2021","url":"https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-035/"},{"title":"[4] Avis de s\u00e9curit\u00e9\u00a0CERTFR-2021-AVI-369 du 12 mai 2021","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-369/"}],"reference":"CERTFR-2021-ALE-017","revisions":[{"description":"Version initiale","revision_date":"2021-08-27T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2022-05-04T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"\u00c9l\u00e9vation de privil\u00e8ges"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Dans son bulletin d'actualit\u00e9 CERTFR-2021-ACT-035 du 12 ao\u00fbt 2021\n[\\[1\\]](http://suite%20\u00e0%20la%20publication%20d'une%20technique%20permettant%20de%20prendre%20le%20contr\u00f4le%20d'un%20serveur%20Microsoft%20Exchange),\nle CERT-FR revenait sur la publication d'une technique permettant de\nprendre le contr\u00f4le d'un serveur Microsoft Exchange. La technique,\nd\u00e9nomm\u00e9e \"*ProxyShell*\" s'appuie sur l'existence de plusieurs\nvuln\u00e9rabilit\u00e9s corrig\u00e9es en avril et en mai 2021\n[\\[4\\]](/avis/CERTFR-2021-AVI-369/) (mais\nannonc\u00e9es en juillet)\n[\\[2\\]](/avis/CERTFR-2021-AVI-522/)\n[\\[3\\]](/actualite/CERTFR-2021-ACT-030/).\n\nR\u00e9cemment, le CERT-FR a pris connaissance d'activit\u00e9s malveillantes qui\npourraient-\u00eatre bas\u00e9es sur une exploitation de ces vuln\u00e9rabilit\u00e9s et\nciblant les serveurs Microsoft Exchange d'entit\u00e9s fran\u00e7aises.\n\nLe CERT-FR a signal\u00e9 l'existence de serveurs vuln\u00e9rables expos\u00e9s sur\nInternet \u00e0 leurs propri\u00e9taires, mais sans possibilit\u00e9 d'exhaustivit\u00e9.\nPar cons\u00e9quent le CERT-FR rappelle les recommandations suivantes :\n\n-   appliquer imm\u00e9diatement les correctifs de s\u00e9curit\u00e9 fournis par\n    l\u2019\u00e9diteur sur l\u2019ensemble des serveurs Exchange vuln\u00e9rables expos\u00e9s\n    sur Internet puis en interne ;\n-   proc\u00e9der \u00e0 l\u2019analyse des serveurs Exchange afin d\u2019identifier une\n    possible activit\u00e9 anormale \u00e0 l'aide des informations fournies dans\n    notre bulletin CERTFR-2021-ACT-035 et la pr\u00e9sence de *webshells* ;\n-   en cas de compromission, contr\u00f4ler le syst\u00e8me d\u2019information pour\n    d\u00e9tecter d\u2019\u00e9ventuelles lat\u00e9ralisations ainsi qu\u2019une compromission\n    des serveurs Active Directory.\n\nEnfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne\ndevraient pas \u00eatre expos\u00e9s sans protection sur Internet. Il est\nfortement recommand\u00e9 d\u2019appliquer les bonnes pratiques publi\u00e9es par\nl\u2019ANSSI pour ce type service\n[\\[5\\]](https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/).\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Exchange","vendor_advisories":[]}