Microsoft confirme l'existence de plusieurs failles critiques de type 0-Day dans le serveur Exchange.

Microsoft confirme l'existence de plusieurs failles critiques de type 0-Day dans le serveur Exchange. En début de semaine, Microsoft a confirmé une "nouvelle" vulnérabilité 0-Day d'exécution de code à distance dans les serveurs Exchange. Bien qu'il ne s'agisse pas nécessairement d'une nouveauté dans la famille des Proxy-Exploits, les infrastructures critiques sont toujours attaquées actuellement, et des centaines de milliers de serveurs sont potentiellement vulnérables à ce problème, il faut donc appliquer un correctif dès que possible. Mercredi dernier, la société de cybersécurité GTSC a publié un article de blog intitulé "New Attack Campaign Utilized A New 0-Day RCE Vulnerability On Microsoft Exchange Server", qui décrit les demandes d'exploitation détectées, similaires à la vulnérabilité ProxyShell de 2021. Peu après, Microsoft est passé en mode triage et a attribué CVE-2022-41040 et CVE-2022-41082, une vulnérabilité de falsification de requête côté serveur et d'exécution de code à distance, respectivement. Toutefois, il a été noté que pour exploiter l'une ou l'autre de ces vulnérabilités, un attaquant doit disposer d'informations d'identification valides pour un utilisateur non administrateur sur le serveur Exchange. Kevin Beaumont, chercheur en cybersécurité et pourvoyeur de noms et de logos de vulnérabilités, a rapidement baptisé ce problème "ProxyNotShell" car "il s'agit du même chemin et de la même paire SSRF/RCE que [ProxyShell en 2021]... mais avec authentification". Il a également expliqué que ce problème n'affecte que les personnes qui exécutent Microsoft Exchange sur site et dont l'Outlook Web App (OWA) ne fait pas face à Internet. Cependant, en utilisant Shodan, un moteur de recherche pour les appareils connectés à Internet, il est signalé qu'il y a potentiellement 204 000 pages OWA exposées, ce qui signifie que ces organisations devraient évaluer leur exposition et éventuellement atténuer le problème. À cette fin, Microsoft propose trois options d'atténuation sur son blog, dont la première consiste à ne rien faire, car les clients dont le service d'atténuation d'urgence d'Exchange Server est activé verront les mesures d'atténuation appliquées automatiquement. En outre, Microsoft a créé un script que les clients peuvent déployer, ou les administrateurs peuvent créer eux-mêmes des règles de réécriture d'URL. Microsoft note également que les clients d'Exchange Online ne doivent prendre aucune mesure, mais Beaumont s'y oppose et explique que les serveurs Exchange Hybrid sont potentiellement vulnérables et doivent être mis à jour et sécurisés. Il convient également de noter que des informations sont disponibles pour aider les administrateurs à découvrir si l'une ou l'autre des vulnérabilités a été déployée contre leur infrastructure. Espérons qu'avec toute cette couverture et ces mesures d'atténuation, ce problème ne deviendra pas incontrôlable pendant le week-end. Sinon, si vous ou un administrateur bien-aimé avez été affecté par ProxyNotShell lié à l'exposition d'Exchange, vous pouvez avoir droit à une compensation financière. HOTHARDWARE