Deux nouvelles vulnérabilités critiques découvertes dans Microsoft Exchange
Deux nouvelles vulnérabilités jusqu’ici inconnues affectent la sécurité des serveurs Exchange, vient d’avertir Microsoft Security Response Center (MSRC), après la publication d’un rapport des chercheurs de la société vietnamienne de cybersécurité GTSC. Une nouvelle inquiétante au vu des précédents.
L’an passé, la découverte de quatre failles baptisées Proxylogon dans ce service de messagerie et d’agenda s’était soldée par une exploitation massive de ces vulnérabilités. L’Anssi avait alors compté 15 000 serveurs Exchange exposés, soit autant de portes d’entrée ouvertes à de futures actions malveillantes.
Deux vulnérabilités qui peuvent être combinées
Les serveurs Microsoft Exchange constituent en effet une cible très tentante pour les pirates informatiques. Non seulement les attaques qui réussissent à compromettre Exchange peuvent être utilisées pour accéder à des informations sensibles, mais elles peuvent également ouvrir la porte à d’autres attaques, les victimes pouvant ne jamais découvrir qu’elles ont été ciblées.
Dans le détail, la première vulnérabilité découverte (CVE-2022-41040) est une faille de type SSRF (Server-Side Request Forgery). Elle permet à des attaquants d’effectuer des requêtes côté serveur à partir d’un emplacement non prévu. Par exemple, en leur permettant d’accéder à des services internes sans être dans le périmètre du réseau.
La seconde vulnérabilité (CVE-2022-41082) permet l’exécution de code à distance lorsque PowerShell, l’interface en ligne de commande, est accessible à l’attaquant. Les deux failles peuvent être combinées : la première peut permettre aux attaquants d’utiliser la seconde.
Correctif en préparation
Microsoft a indiqué travailler sur un « calendrier accéléré » pour publier un correctif. Des dispositions à prendre en attendant sont détaillées dans une alerte. Il est recommandé de bloquer les ports PowerShell distants exposés.
Par contre, les clients de Microsoft Exchange Online n’ont pas besoin de prendre ces mesures. « Microsoft Exchange Online a mis en place une surveillance et des mesures d’atténuation pour protéger les clients », précise la société.
A l’heure actuelle, il n’y a aucune information sur des attaques qui auraient exploité ces deux vulnérabilités. De leur côté, les chercheurs de GTSC qui ont découvert les deux failles recommandent d’appliquer les mesures d’atténuation « dès que possible, pour éviter de graves dommages potentiels ».
Source : ZDNet.com
