CERTFR-2022-ALE-008

<span style="color: #ff0000;"><strong>\[Mise à jour du 09 novembre 2022\]</strong> </span>L'éditeur a publié un correctif (cf. section solution). En date du 29 septembre 2022, Microsoft a indiqué l'existence de deux vulnérabilités, de type zéro-jour, au sein de Windows Exchange 2013, 2016 et 2019. Ces vulnérabilités sont les suivantes : - CVE-2022-41040 : Vulnérabilité de type injection de requêtes forgées côté serveur (*Server Side Request Forgery, SSRF*) exploitable par un attaquant authentifié ; - CVE-2022-41082 : Vulnérabilité permettant à un attaquant authentifié d'exécuter du code arbitraire à distance. Dans le cadre d'une attaque, la CVE-2022-41040 peut permettre à un attaquant d'exploiter à distance la CVE-2022-41082. Selon l'éditeur, ces deux vulnérabilités ne sont exploitables que si l'attaquant est déjà <strong>authentifié</strong>. Un correctif spécifique est en cours de développement par Microsoft. Ces vulnérabilités doivent faire l'objet d'une prise en compte immédiate, car elles ont été utilisées dans le cadre d'attaques ciblées. Le CERT-FR n'a pour le moment pas connaissance des conditions ayant permis aux attaquants d'obtenir un accès authentifié sur les serveurs ciblés. Le CERT-FR a connaissance de codes d'exploitation publics pour la CVE-2022-41040. <span style="color: #000000;"><span class="mx_MTextBody mx_EventTile_content"><span class="mx_EventTile_body" dir="auto">Le CERT-FR a connaissance d'incidents en France impliquant l'exploitation de ces vulnérabilités.</span></span></span>