Microsoft alerte sur 4 failles zero day exploitées sur Exchange

Spread the love
  • Yum

Microsoft alerte sur 4 failles zero day exploitées sur Exchange

Il y a les patchs programmés dans le cadre des patch tuesday, et il y a les autres. Les autres sont généralement les plus inquiétants : c’est le cas d’un nouveau patch diffusé par Microsoft hier à destination des serveurs Exchange (2013, 2016 et 2019, Exchange 2010 n’est pas directement affecté, mais a également le droit à un correctif). Les failles corrigées sont identifiées par quatre CVE : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065.

Ces différentes failles permettent d’élever les privilèges, de contourner des outils d’authentification et de prendre le contrôle à distance d’un serveur Exchange attaqué. Selon Microsoft, l’attaque nécessite que les attaquants aient la capacité d’établir une connexion avec le serveur visé sur le port 443 : il s’agit néanmoins de l’étape d’accès initial, et les autres failles de sécurité restent exploitables une fois que les attaquants ont accédé au serveur.

Prises séparément, elles pourraient être considérées comme mineures, mais Microsoft explique que ces failles de sécurité sont utilisées ensemble par un groupe de cybercriminel qui les emploie pour voler des données.

publicité

Hafnium pointé du doigt

Les agissements du groupe en question sont détaillés dans un post de blog de Microsoft. Baptisé « Hafnium », ce groupe que Microsoft associe à la Chine, et qui vise principalement des entités américaines dans différents secteurs. Dans un message sur son site, la firme Volexity donne plus de détails sur la découverte de ces failles : la société indique avoir identifié du trafic malveillant visant un serveur Exchange d’un de ses clients au début du mois de janvier 2021. Une analyse des requêtes et de la mémoire du serveur lui ont permis d’identifier une faille zero day, donc inconnue de Microsoft, exploitée par les attaquants, puis de découvrir que le groupe d’attaquants utilisait d’autres vulnérabilités pour parvenir à voler des mails à leurs victimes.

Pour limiter la casse et du fait de l’activité constatée du groupe Hafnium, Microsoft a donc choisi de ne pas attendre le traditionnel Patch Tuesday pour proposer un correctif à destination des serveurs Exchange. Pour ceux qui ne pourraient pas appliquer rapidement le patch, Microsoft suggère des mesures d’atténuation : limiter les connexions non authentifiées sur le port 443 ou l’utilisation d’un VPN pour limiter l’accès au serveur Exchange depuis l’extérieur, mais Microsoft rappelle que ces mesures ne protègent pas entièrement des effets de ces failles, qui pourraient être exploitées au travers d’un autre vecteur que celui employé par Hafnium.

Leave a Reply

%d bloggers like this: