IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft publie des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge
à la suite du piratage de son serveur de messagerie

Le , par Bill Fassinou
102 commentaires

64PARTAGES

5  0 
Piraté de nouveau la semaine passée, après les déboires de SolarWinds en fin d'année 2020, Microsoft a publié rapidement un correctif pour corriger la faille à l'origine de l'attaque. Mais malgré le correctif d'urgence de Microsoft, la Maison Blanche a demandé à toutes les organisations utilisatrices du serveur de messagerie de rester vigilantes, principalement celles qui exécutent une version d'Exchange sur site, car la menace est toujours "active". Ainsi, pour sécuriser davantage le logiciel, Microsoft, a publié lundi des mises à jour de sécurité pour les anciennes versions d'Exchange qui ne sont plus prises en charge.

Mises à jour de sécurité pour les versions d'Exchange n'ayant plus de support

Microsoft a attribué le nouveau piratage du serveur de messagerie Exchange à un groupe État-nation supposé lié à la Chine qu'il a nommé Hafnium. L'entreprise a déclaré que Hafnium avait tenté de voler des informations à des groupes tels que des chercheurs en maladies infectieuses, des cabinets d'avocats, etc. Selon le centre de renseignement sur les menaces de Microsoft (MSTIC – Microsoft Threat Intelligence Center), les attaques exploitaient quatre vulnérabilités de sécurité récemment découvertes. Cela a amené la firme de Redmond à publier des correctifs d'urgence hors bande pour Exchange Server 2013, Exchange Server 2016 et Exchange Server 2019.



Cependant, à la lumière des cyberattaques en cours exploitant les failles, Microsoft a produit des mises à jour de sécurité pour les versions antérieures d'Exchange qu'elle ne corrige pas autrement (ces versions ne sont plus prises en charge). Les mises à jour de sécurité pour les anciennes versions d'Exchange ne concernent que les quatre failles récemment divulguées qui sont suivies comme CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, et CVE-2021-27065. Selon les explications fournies par Microsoft, les problèmes corrigés par ces mises à jour ne concernent que les serveurs Exchange sur site. Voici un aperçu des quatre vulnérabilités.

  • CVE-2021-26855 : CVSS 9.1 : une vulnérabilité de type SSRF (Server Side Request Forgery) qui conduit à l'envoi de requêtes HTTP élaborées par des attaquants non authentifiés. Les serveurs doivent pouvoir accepter des connexions non fiables sur le port 443 pour que le bogue soit déclenché ;
  • CVE-2021-26857 : CVSS 7.8 : une vulnérabilité de désérialisation non sécurisée dans le service de messagerie unifiée Exchange, permettant le déploiement de code arbitraire sous SYSTEM. Cependant, cette vulnérabilité doit être combinée avec une autre ou des identifiants volés doivent être utilisés ;
  • CVE-2021-26858 : CVSS 7.8 : une vulnérabilité d'écriture de fichier arbitraire post-authentification pour écrire dans les chemins d'accès ;
  • CVE-2021-27065 : CVSS 7.8 : vulnérabilité en écriture d'un fichier arbitraire post-authentification à écrire dans les chemins d'accès.

Notons, bien que les correctifs pour les produits Microsoft non pris en charge soient rares, la société a été contrainte de les publier à plusieurs reprises au cours des cinq dernières années pour faire face aux cyberattaques mondiales. Elle a, par exemple, publié des correctifs pour Windows XP, dont le support a pris fin en 2014, en 2017 après les attaques du ransomware WannaCry. Microsoft a noté lundi que cette mise à jour de sécurité pour Exchange ne concerne que les quatre nouvelles failles et ne signifie pas que les versions d'Exchange, telles qu'Exchange 2010 et antérieures, sont désormais prises en charge.

Les correctifs sont conçus pour mettre à jour des mises à jour cumulatives spécifiques (CU) d'Exchange. Il y a Exchange Server 2010 (la mise à jour nécessite le SP 3 ou toute UR SP 3. Il s'agit d'une mise à jour de Défense en profondeur), Exchange Server 2013 (la mise à jour nécessite la CU 23), Exchange Server 2016 (la mise à jour nécessite la CU 19 ou la CU 18) et Exchange Server 2019 (la mise à jour nécessite la CU 8 ou la CU 7). En outre, Microsoft a publié une série supplémentaire de mises à jour de sécurité (SU) qui peuvent être appliquées à certaines mises à jour cumulatives (CU) plus anciennes (et non prises en charge).

Cela dit, il rappelle que la disponibilité de ces mises à jour ne signifie pas que vous n'avez pas besoin de tenir votre environnement à jour. « Il s'agit uniquement d'une mesure temporaire destinée à vous aider à protéger les machines vulnérables dès maintenant. Vous devez encore effectuer une mise à jour vers la dernière CU prise en charge, puis appliquer les SU applicables. Si vous êtes déjà à mi-chemin de la mise à jour vers une CU plus récente, vous devez poursuivre cette mise à jour », a déclaré l'entreprise.

La Maison Blanche indique que l'on est en présence d'une menace active

Après les correctifs d'urgence de Microsoft la semaine dernière, la Maison a déclaré être sceptique quant à leur efficacité. Elle a fait savoir qu'elle n'est pas totalement certaine que la menace a été écartée et a mis en alerte toutes les organisations qui utilisent Exchange. « Il s'agit d'une vulnérabilité importante qui pourrait avoir des répercussions de grande envergure. C'est une menace active », a déclaré vendredi l'attachée de presse de la Maison Blanche Jen Psaki. « Tous ceux qui gèrent ces serveurs, gouvernement, secteur privé, université doivent agir maintenant pour les réparer », a-t-elle ajouté.

Psaki a expliqué aux journalistes que la Maison Blanche était "préoccupée par le grand nombre de victimes". Les correctifs fournis par Microsoft laisseraient toujours ouverte une prétendue porte dérobée qui pourrait permettre l'accès à des serveurs compromis et perpétuer de nouvelles attaques par d'autres. Samedi, le Conseil national de sécurité américain (US National Security Council) a déclaré qu'il était "essentiel que toute organisation ayant un serveur vulnérable prenne des mesures immédiates" pour déterminer si elle avait été ciblée. Dans le cas échéant, elle devrait suivre les consignes indiquées.

En effet, les équipes de cybersécurité du monde entier ont été très occupées ces derniers mois après que l'attaque de la chaîne d'approvisionnement de SolarWinds a été révélée par Microsoft et FireEye à la mi-décembre. Ces équipes sont déjà sous pression après avoir soutenu des dispositifs pour rendre possible le télétravail pendant la pandémie. Chris Krebs, l'ancien directeur de la CISA (Cybersecurity and Infrastructure Security Agency), a déclaré lundi que les équipes de réponses aux incidents sont épuisées. Il a recommandé de réparer Exchange maintenant si possible et de supposer que l'organisation a déjà été violée.

Si la recherche de signes de compromission n'est pas possible actuellement, il a recommandé de suivre les conseils de la CISA : déconnecter et reconstruire le serveur Exchange. Microsoft a indiqué que les nouvelles mises à jour d'Exchange ne sont disponibles que par le biais du centre de téléchargement de Microsoft et non sur le service Microsoft Update. Microsoft a aussi averti que cette mise à jour de sécurité pose des problèmes qui peuvent entraîner le blocage d'Outlook sur le Web, selon la configuration.

« Lorsque vous essayez d'installer manuellement cette mise à jour de sécurité en double-cliquant sur le fichier de mise à jour (.msp) pour l'exécuter en mode normal (c'est-à-dire pas en tant qu'administrateur), certains fichiers ne sont pas correctement mis à jour », a averti Microsoft dans un document d'assistance. « Lorsque ce problème survient, vous ne recevez pas de message d'erreur ni d'indication que la mise à jour de sécurité n'a pas été correctement installée. Cependant, la version Web d'Outlook et le panneau de contrôle d'Exchange (ECP) peuvent cesser de fonctionner », a-t-il ajouté.

Selon l'entreprise, ce problème se produit sur les serveurs qui utilisent le contrôle de compte d'utilisateur (UAC – User Account Control). « Le problème se produit parce que la mise à jour de sécurité n'arrête pas correctement certains services liés à Exchange », a-t-il déclaré.

Source : Microsoft

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi

Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer" et appelle à l'action

Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés

Les pirates informatiques proposent de vendre à Microsoft et Cisco davantage de code source lié à l'incident SolarWinds et offrent l'accès au code source de Windows 10 volé pour 600 000 dollars

Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée. Les empreintes informatiques de plus de 1000 développeurs trouvées

Une erreur dans cette actualité ? Signalez-nous-la !

102 commentaires
Commenter Signaler un problème
TotoParis
Avatar de TotoParis
Membre expérimenté https://www.developpez.com
Le 14/03/2021 à 11:05
« Wow, je suis complètement sans voix ici », a écrit sur Twitter Dave Kennedy, fondateur de la société de sécurité TrustedSec. « Microsoft a vraiment retiré le code PoC de Github. C'est énorme, retirer de GitHub le code d'un chercheur en sécurité contre leur propre produit et qui a déjà été patché ».

Wow, le mec, il déconne à donf ! Microsoft à pris cette décision car il restait 125 000 serveurs non encore "patchés". Ben ouais, c'est ballot, mais ils protègent un peu leurs clients aussi.
Si des chercheur en securité sont en désaccord, ils peuvent aller voir ailleurs que sur GitHub.

Quant au fond de l'affaire, des groupes terroristes soutenus par l'Etat chinois, ils en pensent quoi, ces "chercheurs" ?
6  1 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 16/04/2021 à 13:50
Les USA écoutent et piratent le monde entier notamment pour voler les secrets industriels et diplomatiques (allo Merkel ;-) ?). La belle affaire, les chancelleries occidentales en remercient leurs alliés américains et en demandent encore. Demandez à Snowden et Assange ce qu'ils en pensent. Ah ? on me dit que le dernier est au secret dans une prison de haute sécurité britannique ? (alors que toutes les charges contre lui ont été abandonnées ou les peines ont expiré ?).

Les Américains et les vassaux européens ont tellement acculé la Russie qu'au final, on semble en sortir plutôt perdants nous les Européens. On aurait pu avoir un allié, on avait un partenaire économique, et on se retrouve face à une puissance militaire qu'on rend hostile et qu'on pousse à s'allier à la Chine.

Tiens, le jour où la Chine mangera Taïwan, et obtiendra ainsi l'hégémonie mondiale sur quasi toute la chaîne de production de composants électroniques, on fera moins nos malins puisqu'il n'y en a plus en occident, notamment grâce aux entreprise françaises sans usines, puis sans R&D, puis finalement sans entreprises.

Peut être que si les Russes ne sont pas trop vaches, ils voudront bien nous faire un prix d'ami sur leurs processeurs russes
5  0 
Arya Nawel
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 22/03/2021 à 10:56
Comment peut-on critiquer les actions de ses ennemis lorsque l'on démontre que l'on tout aussi mauvais que lui ? Ça ressemble juste à une banale rivalité enfantine... Et dans ces cas là, tout le monde fini toujours trempé
3  0 
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 22/03/2021 à 10:58
Les USA disposent de 18 agences de renseignement disposant d'un effectif supérieur à 100'000 collaborateurs avec un budget annuel supérieur à 55 milliards de dollar. A cela s'ajoute des milliers d'entreprises privées sous contrat avec le gouvernement américain portant l'effectif des services de renseignement américains à plus de 400'000 personnes...

Et donc, on veut nous faire croire que c'est seulement dans quelques semaines que les USA ayant perdu patience vont finir par organiser une action cybernétique "agressive"... C'est une farce?
5  2 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 23/03/2021 à 20:23
Citation Envoyé par Arya Nawel Voir le message
Le déclenchement d'une cyberguerre est très mauvais pour toutes les parties concernées au niveau mondial.
Pas forcément: c'est très mauvais pour nous, pas pour certains.

Avant, il fallait dire qu'un pays fabriquait des armes de destruction massive pour le piller/mettre sous sanctions se défendre. Maintenant il suffira de dire que l'on a reçu des cyberattaques!
4  1 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 20/04/2021 à 9:36
Citation Envoyé par Bruno Voir le message

Quel est votre avis sur le fait que le FBI aurait accédé à l’insu des entreprises pour supprimer les portes dérobées des serveurs Microsoft Exchange ?
Éthiquement parlant, c'est quand même limite.

Je trouve l'approche du NCSC bien plus louable, surtout que d'après l'article, les failles ne sont pas corrigées suite à l'action du FBI, puisque sans patch, les serveurs peuvent être à nouveau compromis. Là on donne une fausse impression de sécurité.
3  0 
weed
Avatar de weed
Membre chevronné https://www.developpez.com
Le 20/04/2021 à 10:12
Je me poserais également la question si les PME se détournaient de Exchange et se tourneraient vers des alternatives tel que Postfix.

Le problème serait que le FBI n'aurait plus accès à des portes dérobés pour s'infiltrer sur les réseaux des PME et faire leur travail de renseignements.

Je suis bien conscient que Postfix n'offre pas d'écosystème (mail + réunion Teams), il y a peu de risque que les PME migrent, mais certains directeurs devraient tout de même se poser la question ..

EDIT : correction des fautes de frappes
3  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 20/04/2021 à 23:40
Citation Envoyé par TotoParis Voir le message
"Nous ne voulons pas d'un avenir où le FBI détermine qu'une personne peut être vulnérable, puis s'en sert comme prétexte pour obtenir un accès."
Pourquoi pas. Mais ces 30 000 organisations ont été défaillantes en terme de cyber-sécurité.
On peut toujours discuter des inconvénients de la méthode, mais les inconvénients de ce laxisme sont pour le moins bien plus graves.
Encore une fois, ils n'ont pas corrigé les vulnérabilités, ils ont juste supprimé les portes dérobées, ce qui est réversible, donc non pérenne. Ça ne va pas éduquer ces 30 000 organisations, et en plus côté intrusion ce n'est pas fantastique.

S'ils ont les moyens de s'introduire chez ces 30 000 organisations, alors c'est qu'ils ont le moyen d'identifier les serveurs Exchange non-patchés: un message à ces 30 000 organisations pour leur donner un délai d'application des patchs sous menace d'intrusion du FBI aurait été plus constructif sur le long terme, et ça ne leur aurait sans doute pas coûté bien cher.

Ça sent la panique, tout ça.
3  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 16/04/2021 à 16:35
Citation Envoyé par Fagus Voir le message
Les USA écoutent et piratent le monde entier notamment pour voler les secrets industriels et diplomatiques (allo Merkel ;-) ?). La belle affaire, les chancelleries occidentales en remercient leurs alliés américains et en demandent encore. Demandez à Snowden et Assange ce qu'ils en pensent. Ah ? on me dit que le dernier est au secret dans une prison de haute sécurité britannique ? (alors que toutes les charges contre lui ont été abandonnées ou les peines ont expiré ?).

Les Américains et les vassaux européens ont tellement acculé la Russie qu'au final, on semble en sortir plutôt perdants nous les Européens. On aurait pu avoir un allié, on avait un partenaire économique, et on se retrouve face à une puissance militaire qu'on rend hostile et qu'on pousse à s'allier à la Chine.

Tiens, le jour où la Chine mangera Taïwan, et obtiendra ainsi l'hégémonie mondiale sur quasi toute la chaîne de production de composants électroniques, on fera moins nos malins puisqu'il n'y en a plus en occident, notamment grâce aux entreprise françaises sans usines, puis sans R&D, puis finalement sans entreprises.

Peut être que si les Russes ne sont pas trop vaches, ils voudront bien nous faire un prix d'ami sur leurs processeurs russes
Oui, ça rappelle la Guerre Froide, où les pays européens servaient déjà de tampons entre les deux super-puissances... On est toujours les mêmes dindons de la farce, et on en redemande...
2  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 29/05/2021 à 14:46
Citation Envoyé par Stéphane le calme Voir le message

Le président de Microsoft, Brad Smith, a décrit l'attaque comme « l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue ».
Ouais enfin, il ne faut pas charrier non plus, hein. C'est une "supply chain attack" classique. Ils se sont juste fait avoir pour avoir fait confiance à un éditeur tiers avec des pratiques logicielles toutes pourries. Mais bon, face aux actionnaires il ne peut pas dire ça

Citation Envoyé par Stéphane le calme Voir le message

Les États-Unis et la Grande-Bretagne ont blâmé le service russe de renseignement extérieur (SVR), successeur des opérations d'espionnage étrangères du KGB, pour le piratage qui a compromis neuf agences fédérales américaines et des centaines d'entreprises du secteur privé.
Aaah, les Russes. Qui est-ce que les USA pourraient blâmer s'ils n'existaient pas?! Ah non, c'est bon en fait, ils en ont une pleine liste

Blâmer les autres quand on a délibérément fait du travail de cochon (et que l'on fait régulièrement la même chose), je trouve ça quand même très gros!
2  0 
Commenter Signaler un problème