Other official information and services: www.belgium.be

MICROSOFT EXCHANGE VICTIME DE NOMBREUSES VULNÉRABILITÉS CRITIQUES

Référence:

Advisory #2021-0003

Version:

1.2 (Mise à jour le 16 mars 2021)

Logiciels concernés :

Microsoft Exchange Server 2013, 2016 et 2019

Microsoft Exchange Server 2010 n’est plus supporté, mais est en cours de mise à jour à des fins de défense en profondeur

Type:

Zero-day, chaîne de vulnérabilités menant à l’exécution de code arbitraire à distance

CVE/CVSS:

Activement exploité dans les attaques connues.

Aucun lien avec des attaques connues, mais suffisamment dangereux pour nécessiter une correction.

Date:

03/03/2021

Sources

Microsoft Blog - https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

IOCs et contexte (Microsoft, 8 mars 2021) - https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Questions: (Microsoft, 8 mars 2021 ) - https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

Guide de réponse aux incidents (mise à jour par Microsoft le 16 mars 2021) : https://msrc-blog.microsoft.com/2021/03/16/guidance-for-responders-investigating-and-remediating-on-premises-exchange-server-vulnerabilities/

Risques

Microsoft a détecté que de multiples exploits de type 0-day ont été utilisés pour attaquer les serveurs Microsoft Exchange dans le cadre d'attaques ciblées et limitées.
Dans les attaques observées, l'acteur malveillant a utilisé ces vulnérabilités pour accéder aux serveurs Exchange locaux, accéder aux comptes de messagerie et installer des logiciels malveillants supplémentaires. L'objectif est de faciliter l'accès à long terme aux environnements des victimes. Tout cela est possible sans authentification.
MISE À JOUR 16/03/2021 : Il a été déterminé que des parties malveillantes installent des web shells dans des systèmes vulnérables.
Les organisations et les entreprises qui ne prennent pas de mesures peuvent être victimes de ransomware ou d'exfiltration de données.

Description

Microsoft a publié plusieurs mises à jour de sécurité pour le serveur Microsoft Exchange afin de remédier aux vulnérabilités exploitées à l’occasion d’attaques récentes limitées et ciblées.

Le rapport mentionne 4 des 7 vulnérabilités corrigées comme étant exploitées dans ces attaques.

CVE-2021-26855 est une vulnérabilité de type SSRF (Server-side request forgery) dans Exchange qui permettrait à l’acteur malveillant d’envoyer des requêtes HTTP arbitraires et de s’authentifier en tant que serveur Exchange.

CVE-2021-26857 est une vulnérabilité de désérialisation non sécurisée dans le service d’Unified Messaging. La désérialisation non sécurisée consiste en la désérialisation, par un programme, de données non fiables et contrôlables par l’utilisateur. Elle nécessite l’autorisation de l’administrateur ou une autre vulnérabilité à exploiter.

CVE-2021-26858 & CVE-2021-27065 sont des vulnérabilités d’écriture de fichiers arbitraires post-authentification dans Exchange. L’authentification est possible en exploitant la vulnérabilité SSRF CVE-2021-26855 ou en compromettant les identifiants d’un administrateur légitime.

Les CVE suivants n’ont pas de lien avec les attaques mais doivent également être corrigés : CVE-2021-26412, CVE-2021-26854 et CVE-2021-27078.

(Mise à jour, 16/03/2021): Il est important de faire la distinction entre configuration locale, hybride et en ligne de Microsoft Exchange. Un logiciel en configuration locale signifie qu’il est installé dans l’entreprise elle-même, sur ses propres ordinateurs et serveurs. Hybride signifie que le logiciel est installé dans l’entreprise ainsi qu'en ligne (dans le cloud). La cyberattaque Hafnium affecte ces deux configurations. Il n'y a aucun impact sur les entreprises dont les services Exchange sont entièrement dans le cloud Microsoft.

Atténuations

Source: Microsoft Tech Community

Ces vulnérabilités sont utilisées dans le cadre d’une attaque utilisant une chaîne de vulnérabilités. L’attaque initiale nécessite la capacité d’établir une connexion non sécurisée au port 443 du serveur Exchange.

On peut s’en prémunir en restreignant les connexions non sécurisées ou en mettant en place un VPN pour séparer le serveur Exchange de tout accès externe. L’utilisation de cette atténuation ne protégera que contre la partie initiale de l’attaque. D’autres parties de la chaîne de vulnérabilités peuvent être déclenchées si un acteur malveillant a déjà un accès ou parvient à convaincre un administrateur d’exécuter un fichier malveillant.

Mise à jour du 6 mars 2021 : https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/

Le 8 mars 2021, Microsoft a publié une stratégie de mise à jour pour protéger temporairement les machines vulnérables jusqu'à ce que vous puissiez mettre à jour la dernière mise à jour critique (CU) de support et ensuite appliquer les mises à jour de sécurité (SU) disponibles.

Actions recommandées

CERT.be recommande d'installer en priorité les mises à jour (mises à jour le 8 mars 2021) sur les serveurs Exchange accessibles depuis l'extérieur. Tous les serveurs Exchange affectés doivent être mis à jour avec la plus haute priorité.

Une fois les correctifs appliqués, les administrateurs Exchange peuvent exécuter un script Health Checker pour déterminer l'état de chaque serveur Exchange.

Ensuite, retirez toutes les web shells.

Vue d'ensemble de toutes les étapes à suivre : Multiple Security Updates Released for Exchange Server – updated March 16, 2021 – Microsoft Security Response Center

Mise à jour du 16/03/2021 : Microsoft a lancé un outil pour automatiser les choses pour les clients ayant peu d'expertise. One-Click Microsoft Exchange On-Premises Mitigation Tool – March 2021 – Microsoft Security Response Center

Il est conseillé aux entreprises et aux organisations qui rencontrent des difficultés avec ces étapes de faire appel à un partenaire informatique ou à un expert externe pour effectuer ces actions.

Surveillez votre environnement pour détecter les signes d'infection

Analyser les journaux (logs) du serveur Exchange pour trouver des indicateurs de compromission (IOC).

Analyse des hôtes à la recherche d'IOC tels que les hash de webshell, les chemins et noms de fichiers connus, ainsi que les accès mémoire des processus LSASS.

Pour plus d'informations sur la gestion de votre environnement et l'utilisation des IOC : https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exc... (mise à jour par Microsoft le 8 mars 2021 ).

Pour plus d'informations sur la manière d'enquêter et de remédier une incident (mise à jour par Microsoft le 16 mars 2021) : https://msrc-blog.microsoft.com/2021/03/16/guidance-for-responders-investigating-and-remediating-on-premises-exchange-server-vulnerabilities/

Références

Webcast Microsoft: https://aka.ms/EMEAExchangeOOBMarch2021PM

présentation: https://aka.ms/ExOOB

Présentation 9 mars 2021: https://webcastdiag864.blob.core.windows.net/2021presentationdecks/March%202021%20Exchange%20Server%20Security%20Update%20-%20EN.pdf

Advanced hunting queries

Microsoft Defender for Endpoint: https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries/
Azur Sentinel: https://github.com/Azure/Azure-Sentinel/tree/master/Detections/MultipleDataSources/