{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Exchange Serveur 2013 toutes versions","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Exchange Serveur 2016 toutes versions","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Exchange Serveur 2019 toutes versions","product":{"name":"N/A","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":"","closed_at":"2023-03-14","content":"\n## Contournement provisoire\n\nEn attendant la publication des correctifs, le CERT-FR recommande\nd'appliquer imm\u00e9diatement les mesures d'att\u00e9nuation propos\u00e9es par\nMicrosoft \\[1\\].\n\nL'\u00e9diteur recommande fortement de d\u00e9sactiver l\u2019acc\u00e8s \u00e0 PowerShell \u00e0\ndistance pour les utilisateurs non administrateurs \\[3\\]. **Le CERT-FR\nrecommande l'application de cette contre-mesure** car il s'agit de la\nprotection <u>la plus efficace</u> identifi\u00e9e \u00e0 ce jour. Il conviendra\nde tester la configuration afin d'identifier les \u00e9ventuels effets de\nbord sur les proc\u00e9dures automatis\u00e9es bas\u00e9es sur Powershell.\n\nPar ailleurs, et de fa\u00e7on compl\u00e9mentaire, Microsoft a publi\u00e9 un code\nPowerShell permettant d'appliquer les mesures d'att\u00e9nuation pour la\nCVE-2022-41040 (r\u00e9\u00e9criture de l'URL) \\[2\\]. De plus, une mise \u00e0 jour de\nl'outil *EEMS* (*Exchange Emergency Mitigation Service*), ainsi que des\n\u00e9l\u00e9ments pour l'outil *AMSI* (*AntiMalware Scan Interface*) ont \u00e9t\u00e9\npropos\u00e9s par Microsoft.\n\nLe code PowerShell de Microsoft permettant d'appliquer la mesure\nd'att\u00e9nuation *via* le module *URL Rewrite* a \u00e9t\u00e9 mis \u00e0 jour pour\nrenforcer son efficacit\u00e9 contre des variations de la requ\u00eate\nmalveillante initialement observ\u00e9e \\[2\\]. Afin d'appliquer cette\nmodification, il est n\u00e9cessaire de t\u00e9l\u00e9charger puis relancer ce nouveau\ncode ou modifier directement la r\u00e8gle dans le module *URL Rewrite* avec\nla valeur suivante : \"`.*autodiscover\\.json.*Powershell.*`\".\n\nAfin de pr\u00e9venir tout type de coutournement de la r\u00e8gle\n\"`.*autodiscover\\.json.*Powershell.*`\" par le biais d'encodage, le\nCERT-FR rappelle qu'il faut modifier la condition d'entr\u00e9e de la r\u00e8gle\nsusmentionn\u00e9e avec la valeur suivante :\u00a0 `{UrlDecode:{REQUEST_URI}}`.\nPour plus d'informations, veuillez-vous r\u00e9f\u00e9rer \u00e0 l'\u00e9tape 10 du blog de\nMicrosoft \\[1\\].\n\nLe *Microsoft Patch Tuesday* du 11 octobre 2022 ne propose <u>aucun\ncorrectif</u> pour ces vuln\u00e9rabilit\u00e9s. Il est essentiel de maintenir\nl'application des contournements mentionn\u00e9s ci-avant.\n\n## D\u00e9tection\n\nLe billet de blogue de l'\u00e9diteur documente quelques \u00e9l\u00e9ments d'aide \u00e0 la\nd\u00e9tection de ces vuln\u00e9rabilit\u00e9s \\[1\\].\n\nLe CERT-FR recommande de r\u00e9aliser une analyse approfondie des journaux\nr\u00e9seau des serveurs IIS (sauvegard\u00e9s par d\u00e9faut dans le dossier :\n%SystemDrive%\\\\inetpub\\\\logs\\\\LogFiles). Les commandes suivantes\npermettent d'identifier une exploitation de la vuln\u00e9rabilit\u00e9\nCVE-2022-41040\u00a0 :\n\n-   sur un syst\u00e8me Windows :\n    `Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter \"*.log\" | Select-String -Pattern '/powershell.*autodiscover.json.*200'`;\n-   sur un syst\u00e8me Linux :\n    `cat <Path_IIS_Logs>/*.log | grep -i -e '/powershell.*autodiscover.json.*200'`.\n\nSi une r\u00e9partition de charge (*load-balancing*) est mise en \u0153uvre, ces\ncommandes doivent \u00eatre appliqu\u00e9es sur les journaux de chacun des n\u0153uds.\nIl est possible d'identifier une exploitation r\u00e9ussie de la\nCVE-2022-41040 si, \u00e0 la suite de la premi\u00e8re requ\u00eate, une seconde\nrequ\u00eate *HTTP* de type POST commen\u00e7ant par le motif : `/PowerShell` a\n\u00e9t\u00e9 ex\u00e9cut\u00e9e par le serveur. Dans ce cas l\u00e0, une analyse forensique des\nserveurs Exchange doit \u00eatre engag\u00e9e.\n\nEn cas de suspicion de compromission, les bons r\u00e9flexes en cas\nd'intrusion sur votre syst\u00e8me d'information sont rappel\u00e9s\n[ici](/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/).\n\n## Solution\n\n<span style=\"color: #ff0000;\">\\[Mise \u00e0 jour du 09 novembre 2022\\]\n</span>Se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour\nl'obtention des correctifs (cf. section Documentation \\[4\\]).\n","cves":[{"name":"CVE-2022-41040","url":"https://www.cve.org/CVERecord?id=CVE-2022-41040"},{"name":"CVE-2022-41082","url":"https://www.cve.org/CVERecord?id=CVE-2022-41082"}],"links":[{"title":"[mise \u00e0 jour] Avis CERTFR-2022-AVI-876 du 03 octobre 2022","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-876/"},{"title":"[1] Billet de blog Microsoft du 29 septembre 2022","url":"https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/"},{"title":"[2] Code powershell appliquant les mesures d'att\u00e9nuation","url":"https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/"},{"title":"[3] Documentation du contr\u00f4le d'acc\u00e8s PowerShell \u00e0 distance","url":"https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-ps&viewFallbackFrom=exchange-ps%22%20%5Cl%20%22use-the-exchange-management-shell-to-enable-or-disable-remote-powershell-access-for-a-user"},{"title":"Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"},{"title":"[4] Avis Microsoft du 08 novembre 2022","url":"https://support.microsoft.com/fr-fr/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-november-8-2022-kb5019758-2b3b039b-68b9-4f35-9064-6b286f495b1d"}],"reference":"CERTFR-2022-ALE-008","revisions":[{"description":"Version initiale","revision_date":"2022-09-30T00:00:00.000000"},{"description":"Mise \u00e0 jour suite \u00e0 l'identification de codes d'exploitation","revision_date":"2022-10-03T00:00:00.000000"},{"description":"Recommandation concernant les contournements","revision_date":"2022-10-04T00:00:00.000000"},{"description":"Ajout d'\u00e9l\u00e9ments de d\u00e9tection pour la CVE-2022-41040","revision_date":"2022-10-05T00:00:00.000000"},{"description":"Ajout d'\u00e9l\u00e9ments afin d'\u00e9viter les contournements li\u00e9s \u00e0 l'encodage","revision_date":"2022-10-07T00:00:00.000000"},{"description":"Identification d'incidents li\u00e9s \u00e0 l'exploitation de cette vuln\u00e9rabilit\u00e9.","revision_date":"2022-10-07T00:00:00.000000"},{"description":"Clarification concernant les codes d'exploitation","revision_date":"2022-10-11T00:00:00.000000"},{"description":"le Patch Tuesday ne propose aucun correctif. Maintenir les contournements en place.","revision_date":"2022-10-12T00:00:00.000000"},{"description":"Publication du correctif dans le cadre du Patch Tuesday du 08 novembre 2022","revision_date":"2022-11-09T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2023-03-14T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"<span style=\"color: #ff0000;\"><strong>\\[Mise \u00e0 jour du 09 novembre 2022\\]</strong>\n</span>L'\u00e9diteur a publi\u00e9 un correctif (cf. section solution).\n\nEn date du 29 septembre 2022, Microsoft a indiqu\u00e9 l'existence de deux\nvuln\u00e9rabilit\u00e9s, de type z\u00e9ro-jour, au sein de Windows Exchange 2013,\n2016 et 2019.\n\nCes vuln\u00e9rabilit\u00e9s sont les suivantes :\n\n-   CVE-2022-41040 : Vuln\u00e9rabilit\u00e9 de type injection de requ\u00eates forg\u00e9es\n    c\u00f4t\u00e9 serveur (*Server Side Request Forgery, SSRF*) exploitable par\n    un attaquant authentifi\u00e9 ;\n-   CVE-2022-41082 : Vuln\u00e9rabilit\u00e9 permettant \u00e0 un attaquant authentifi\u00e9\n    d'ex\u00e9cuter du code arbitraire \u00e0 distance.\n\nDans le cadre d'une attaque, la CVE-2022-41040 peut permettre \u00e0 un\nattaquant d'exploiter \u00e0 distance la CVE-2022-41082. Selon l'\u00e9diteur, ces\ndeux vuln\u00e9rabilit\u00e9s ne sont exploitables que si l'attaquant est d\u00e9j\u00e0\n<strong>authentifi\u00e9</strong>. Un correctif sp\u00e9cifique est en cours de d\u00e9veloppement\npar Microsoft.\n\nCes vuln\u00e9rabilit\u00e9s doivent faire l'objet d'une prise en compte\nimm\u00e9diate, car elles ont \u00e9t\u00e9 utilis\u00e9es dans le cadre d'attaques cibl\u00e9es.\nLe CERT-FR n'a pour le moment pas connaissance des conditions ayant\npermis aux attaquants d'obtenir un acc\u00e8s authentifi\u00e9 sur les serveurs\ncibl\u00e9s.\n\nLe CERT-FR a connaissance de codes d'exploitation publics pour la\nCVE-2022-41040.\n\n<span style=\"color: #000000;\"><span\nclass=\"mx_MTextBody mx_EventTile_content\"><span\nclass=\"mx_EventTile_body\" dir=\"auto\">Le CERT-FR a connaissance\nd'incidents en France impliquant l'exploitation de ces\nvuln\u00e9rabilit\u00e9s.</span></span></span>\n","title":"[MaJ] Multiples vuln\u00e9rabilit\u00e9s dans Microsoft Exchange","vendor_advisories":[{"published_at":"2022-09-29","title":"Bulletin de s\u00e9curit\u00e9 Microsoft","url":"https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/"}]}