Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Microsoft Exchange 2016
- Microsoft Exchange 2019
Résumé
Une vulnérabilité a été découverte dans Microsoft Exchange, initialement dans le cadre de la compétition de cybersécurité Tianfu Cup qui a eu lieu en juillet 2021. Elle permet à un attaquant ayant accès aux identifiants d'un utilisateur de provoquer une exécution de code arbitraire à distance, permettant d’obtenir in fine les droits de l’administrateur de domaine Active Directory.
L'éditeur confirme que cette vulnérabilité est exploitée dans le cadre d'attaques ciblées.
Le CERT-FR recommande donc d'appliquer les correctifs de sécurité dans les plus brefs délais.
Le CERT-FR rappelle en outre que l'éditeur ne fournit des correctifs de sécurité que pour les deux dernières mises à jour cumulatives (Cumulative Update, CU). En l’occurrence, seules les versions de Microsoft Exchange 2019 CU 11, 2019 CU 10, 2016 CU 22 et 2016 CU 21 disposent d'un correctif de sécurité. Il est donc primordial d'avoir déployé ces mises à jour cumulatives (CU) et d'appliquer le correctif.
Enfin, il convient de souligner que ce type de service ne devrait pas être exposé sur Internet sans mesure de protection [1].
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft CVE-2021-42321 du 09 novembre 2021 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321
- [1] Guide ANSSI sur le nomadisme numérique https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/
- avis de sécurité CERTFR-2021-AVI-863 du 10 novembre 2021 https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-863/
- Référence CVE CVE-2021-42321 https://www.cve.org/CVERecord?id=CVE-2021-42321