Mises à jour de sécurité pour les versions d'Exchange n'ayant plus de support
Microsoft a attribué le nouveau piratage du serveur de messagerie Exchange à un groupe État-nation supposé lié à la Chine qu'il a nommé Hafnium. L'entreprise a déclaré que Hafnium avait tenté de voler des informations à des groupes tels que des chercheurs en maladies infectieuses, des cabinets d'avocats, etc. Selon le centre de renseignement sur les menaces de Microsoft (MSTIC – Microsoft Threat Intelligence Center), les attaques exploitaient quatre vulnérabilités de sécurité récemment découvertes. Cela a amené la firme de Redmond à publier des correctifs d'urgence hors bande pour Exchange Server 2013, Exchange Server 2016 et Exchange Server 2019.
Cependant, à la lumière des cyberattaques en cours exploitant les failles, Microsoft a produit des mises à jour de sécurité pour les versions antérieures d'Exchange qu'elle ne corrige pas autrement (ces versions ne sont plus prises en charge). Les mises à jour de sécurité pour les anciennes versions d'Exchange ne concernent que les quatre failles récemment divulguées qui sont suivies comme CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, et CVE-2021-27065. Selon les explications fournies par Microsoft, les problèmes corrigés par ces mises à jour ne concernent que les serveurs Exchange sur site. Voici un aperçu des quatre vulnérabilités.
- CVE-2021-26855 : CVSS 9.1 : une vulnérabilité de type SSRF (Server Side Request Forgery) qui conduit à l'envoi de requêtes HTTP élaborées par des attaquants non authentifiés. Les serveurs doivent pouvoir accepter des connexions non fiables sur le port 443 pour que le bogue soit déclenché ;
- CVE-2021-26857 : CVSS 7.8 : une vulnérabilité de désérialisation non sécurisée dans le service de messagerie unifiée Exchange, permettant le déploiement de code arbitraire sous SYSTEM. Cependant, cette vulnérabilité doit être combinée avec une autre ou des identifiants volés doivent être utilisés ;
- CVE-2021-26858 : CVSS 7.8 : une vulnérabilité d'écriture de fichier arbitraire post-authentification pour écrire dans les chemins d'accès ;
- CVE-2021-27065 : CVSS 7.8 : vulnérabilité en écriture d'un fichier arbitraire post-authentification à écrire dans les chemins d'accès.
Notons, bien que les correctifs pour les produits Microsoft non pris en charge soient rares, la société a été contrainte de les publier à plusieurs reprises au cours des cinq dernières années pour faire face aux cyberattaques mondiales. Elle a, par exemple, publié des correctifs pour Windows XP, dont le support a pris fin en 2014, en 2017 après les attaques du ransomware WannaCry. Microsoft a noté lundi que cette mise à jour de sécurité pour Exchange ne concerne que les quatre nouvelles failles et ne signifie pas que les versions d'Exchange, telles qu'Exchange 2010 et antérieures, sont désormais prises en charge.
Les correctifs sont conçus pour mettre à jour des mises à jour cumulatives spécifiques (CU) d'Exchange. Il y a Exchange Server 2010 (la mise à jour nécessite le SP 3 ou toute UR SP 3. Il s'agit d'une mise à jour de Défense en profondeur), Exchange Server 2013 (la mise à jour nécessite la CU 23), Exchange Server 2016 (la mise à jour nécessite la CU 19 ou la CU 18) et Exchange Server 2019 (la mise à jour nécessite la CU 8 ou la CU 7). En outre, Microsoft a publié une série supplémentaire de mises à jour de sécurité (SU) qui peuvent être appliquées à certaines mises à jour cumulatives (CU) plus anciennes (et non prises en charge).
Cela dit, il rappelle que la disponibilité de ces mises à jour ne signifie pas que vous n'avez pas besoin de tenir votre environnement à jour. « Il s'agit uniquement d'une mesure temporaire destinée à vous aider à protéger les machines vulnérables dès maintenant. Vous devez encore effectuer une mise à jour vers la dernière CU prise en charge, puis appliquer les SU applicables. Si vous êtes déjà à mi-chemin de la mise à jour vers une CU plus récente, vous devez poursuivre cette mise à jour », a déclaré l'entreprise.
La Maison Blanche indique que l'on est en présence d'une menace active
Après les correctifs d'urgence de Microsoft la semaine dernière, la Maison a déclaré être sceptique quant à leur efficacité. Elle a fait savoir qu'elle n'est pas totalement certaine que la menace a été écartée et a mis en alerte toutes les organisations qui utilisent Exchange. « Il s'agit d'une vulnérabilité importante qui pourrait avoir des répercussions de grande envergure. C'est une menace active », a déclaré vendredi l'attachée de presse de la Maison Blanche Jen Psaki. « Tous ceux qui gèrent ces serveurs, gouvernement, secteur privé, université doivent agir maintenant pour les réparer », a-t-elle ajouté.
Psaki a expliqué aux journalistes que la Maison Blanche était "préoccupée par le grand nombre de victimes". Les correctifs fournis par Microsoft laisseraient toujours ouverte une prétendue porte dérobée qui pourrait permettre l'accès à des serveurs compromis et perpétuer de nouvelles attaques par d'autres. Samedi, le Conseil national de sécurité américain (US National Security Council) a déclaré qu'il était "essentiel que toute organisation ayant un serveur vulnérable prenne des mesures immédiates" pour déterminer si elle avait été ciblée. Dans le cas échéant, elle devrait suivre les consignes indiquées.
En effet, les équipes de cybersécurité du monde entier ont été très occupées ces derniers mois après que l'attaque de la chaîne d'approvisionnement de SolarWinds a été révélée par Microsoft et FireEye à la mi-décembre. Ces équipes sont déjà sous pression après avoir soutenu des dispositifs pour rendre possible le télétravail pendant la pandémie. Chris Krebs, l'ancien directeur de la CISA (Cybersecurity and Infrastructure Security Agency), a déclaré lundi que les équipes de réponses aux incidents sont épuisées. Il a recommandé de réparer Exchange maintenant si possible et de supposer que l'organisation a déjà été violée.
Si la recherche de signes de compromission n'est pas possible actuellement, il a recommandé de suivre les conseils de la CISA : déconnecter et reconstruire le serveur Exchange. Microsoft a indiqué que les nouvelles mises à jour d'Exchange ne sont disponibles que par le biais du centre de téléchargement de Microsoft et non sur le service Microsoft Update. Microsoft a aussi averti que cette mise à jour de sécurité pose des problèmes qui peuvent entraîner le blocage d'Outlook sur le Web, selon la configuration.
« Lorsque vous essayez d'installer manuellement cette mise à jour de sécurité en double-cliquant sur le fichier de mise à jour (.msp) pour l'exécuter en mode normal (c'est-à-dire pas en tant qu'administrateur), certains fichiers ne sont pas correctement mis à jour », a averti Microsoft dans un document d'assistance. « Lorsque ce problème survient, vous ne recevez pas de message d'erreur ni d'indication que la mise à jour de sécurité n'a pas été correctement installée. Cependant, la version Web d'Outlook et le panneau de contrôle d'Exchange (ECP) peuvent cesser de fonctionner », a-t-il ajouté.
Selon l'entreprise, ce problème se produit sur les serveurs qui utilisent le contrôle de compte d'utilisateur (UAC – User Account Control). « Le problème se produit parce que la mise à jour de sécurité n'arrête pas correctement certains services liés à Exchange », a-t-il déclaré.
Source : Microsoft
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer" et appelle à l'action
Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
Les pirates informatiques proposent de vendre à Microsoft et Cisco davantage de code source lié à l'incident SolarWinds et offrent l'accès au code source de Windows 10 volé pour 600 000 dollars
Président de Microsoft : le piratage de SolarWinds a été « l'attaque la plus importante et la plus sophistiquée » jamais réalisée. Les empreintes informatiques de plus de 1000 développeurs trouvées