CERTFR-2021-ALE-021

Une vulnérabilité a été découverte dans Microsoft Exchange, initialement dans le cadre de la compétition de cybersécurité *Tianfu Cup* qui a eu lieu en juillet 2021. Elle permet à un attaquant ayant accès aux identifiants d'un utilisateur de provoquer une exécution de code arbitraire à distance, permettant d’obtenir *in fine* les droits de l’administrateur de domaine Active Directory. <u>L'éditeur confirme que cette vulnérabilité est exploitée dans le cadre d'attaques ciblées</u>. Le CERT-FR recommande donc d'appliquer les correctifs de sécurité dans les plus brefs délais. Le CERT-FR rappelle en outre que l'éditeur ne fournit des correctifs de sécurité que pour les deux dernières mises à jour cumulatives (*Cumulative Update*, *CU*). En l’occurrence, seules les versions de Microsoft Exchange 2019 CU 11, 2019 CU 10, 2016 CU 22 et 2016 CU 21 disposent d'un correctif de sécurité. <u>Il est donc primordial d'avoir déployé ces mises à jour cumulatives (*CU*) et d'appliquer le correctif</u>. Enfin, il convient de souligner que ce type de service ne devrait pas être exposé sur Internet sans mesure de protection \[1\].