CVE-2021-26858
CLOSED
KEV
CVSS 8.600000381469727 HIGH
<strong>\[version du 16 mars 2021\]</strong>
le 15 mars 2021, Microsoft a publié un nouvel outil dont le but annoncé
est d'aider leurs clients à se protéger de l'exploitation de la
vulnérabilité CVE-2021-26855 affectant les serveurs de courrier Exchange
en attendant l'application des mises à jour
[(https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/).](https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-on-premises-mitigation-tool-march-2021/)
Les détails de cet outil sont développés dans la section "Contournement
provisoire".
Le CERT-FR souhaite cependant insister sur plusieurs points:
- Cet outil ne protège que contre une exploitation future de la
vulnérabilité CVE-2021-26855, en attendant l'application de la mise
à jour fournie le 2 mars 2021 ;
- Les vulnérabilités ayant été exploitées avant la publication des
correctifs, puis de façon massive, tous les serveurs Exchange
doivent être considérés comme compromis. L'utilisation de cet outil
ne remplace pas l'étape de recherche de compromission (voir les
recommandations de cette alerte) ;
- De plus en plus de codes d'exploitation sont publiquement
disponibles. L'outil de Microsoft tente d'annuler certaines
modifications malveillantes réalisées lors de l'exploitation de la
vulnérabilité CVE-2021-26855, mais cela ne fonctionne que pour une
partie des codes d'exploitation connus.
<strong>\[version du 9 mars 2021\]</strong>
Le CERT-FR recommande fortement de toujours maintenir les serveurs
Exchange dans une version maintenue par l'éditeur, notamment en
appliquant les derniers *Cumulative Updates (CU)*. Cependant, étant
donné l'urgence de la situation, dans le cas où l'application d'un *CU*
ne peut pas se faire immédiatement, l'éditeur a publié un correctif pour
les anciens *CU* des versions Exchange 2016 et 2019
[\[8\]](https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-cumulative/ba-p/2192020).
Note importante : Le CERT-FR insiste sur l'importance de bien suivre les
recommandations de l'éditeur pour l'application des correctifs : en
particulier, en cas d'installation manuelle du fichier .msp, il est
obligatoire d'avoir les droits administrateur au moment de son
installation.
<strong>\[version du 8 mars 2021\]</strong>
Microsoft a publié un code
[\[5\]](https://github.com/microsoft/CSS-Exchange/tree/main/Security)
permettant de vérifier la présence des indicateurs de compromission
(IoCs) liés au mode opératoire *Hafnium*. Un détail de l'utilisation de
ce code est disponible dans la section *"scan Exchange log files"* de
l’article *"HAFNIUM targeting Exchange Servers with 0-day exploits"*
[\[1\]](https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/).
A défaut d'appliquer le correctif immédiatement, des mesures de
contournement <strong>provisoires</strong> ont été proposées par l'éditeur pour les
versions 2013, 2016 et 2019 des serveurs Exchange
[\[6\]](https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/).
Cependant, contrairement aux correctifs, ces mesures ont un impact sur
les fonctionnalités des serveurs Exchange et ne garantissent pas une
protection complète contre ces vulnérabilités.
De plus, dans le cas où l'application du correctif n'est pas immédiate,
le CISA recommande de restreindre les accès externes des plateformes
Exchange exposées en appliquant les mesures suivantes
[\[7\]](https://us-cert.cisa.gov/ncas/alerts/aa21-062a) :
- Bloquer les connections non vérifiées qui peuvent accéder aux
serveurs Exchange sur le port 443, ou mettre en place un VPN afin
qu'il ne soit plus directement exposé sur Internet ;
- Restreindre les accès externes :
- À l'url OWA : /owa/ ;
- À l'url Exchange Admin Center (EAC) aka Exchange Control Panel
(ECP) : /ecp/
Microsoft met en avant la forte augmentation de l'exploitation de ces
quatre vulnérabilités par des attaquants. Le CERT-FR rappelle donc le
motif <strong>urgent</strong> de la <strong>mise en place des correctifs de sécurité</strong>, ou
au moins la restriction des accès à la plateforme ainsi que la mise en
place des mesures de contournement le temps d'appliquer ces correctifs.
<strong>\[version initiale\]</strong>
Le 2 mars 2021, Microsoft a publié des correctifs concernant des
vulnérabilités critiques de type « jour zéro » (zero day) affectant les
serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019.
Ces vulnérabilités permettent à un attaquant de réaliser une exécution
de code arbitraire à distance, permettant d’obtenir *in fine* les droits
de l’administrateur de domaine Active Directory.
- CVE-2021-26855 : vulnérabilité côté serveur de type SSRF permettant
à l‘attaquant non authentifié d’envoyer des requêtes HTTP
arbitraires qui seront exécutées sous l’identité du serveur
Exchange.
- CVE-2021-27065 : vulnérabilité post-authentification permettant à
l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier.
Les droits d’accès peuvent être obtenus soit en exploitant la
CVE-2021-26855 soit en compromettant les identifiants d’un
administrateur légitime.
- CVE-2021-26857 : vulnérabilité basée sur une faiblesse de la
désérialisation dans le service de messagerie unifiée (Unified
Messaging). Cette vulnérabilité permet à l’attaquant de pouvoir
exécuter du code arbitraire à distance avec les privilèges SYSTEM
sur le serveur Exchange. L’exploitation de cette vulnérabilité
demande les droits administrateurs (ou l’exploitation d’une autre
vulnérabilité).
- CVE-2021-26858 : vulnérabilité post-authentification permettant à
l’attaquant de pouvoir écrire un contenu arbitraire dans un fichier.
Les droits d’accès peuvent être obtenus soit en exploitant la
CVE-2021-26855 soit en compromettant les identifiants d’un
administrateur légitime.
L’éditeur indique que ces vulnérabilités ont été exploitées dans des
attaques ciblées qu'il attribue à un groupe d’attaquants appelé
*Hafnium*
[\[1\]](https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/).
En complément, les chercheurs de Volexity indiquent avoir détecté des
premières attaques dès janvier 2021
[\[4\]](https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/).
Au vu de la criticité de ces vulnérabilités, l’ANSSI recommande
fortement de réaliser les actions suivantes :
- déconnecter immédiatement les serveurs Exchange qui seraient exposés
sur Internet sans protection le temps d’appliquer les correctifs ;
- appliquer immédiatement les correctifs de sécurité fournis par
l’éditeur sur l’ensemble des serveurs Exchange exposés sur Internet
puis en interne ;
- procéder à l’analyse des serveurs Exchange afin d’identifier une
possible compromission à l’aide des indicateurs de compromission
publiés par l’éditeur
[\[1\]](https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/) et
de Volexity
[\[4\]](https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/).
Une première étape consistera notamment à effectuer une recherche
d'antécédents dans les logs des serveurs web de Outlook Web Access
afin de déceler d'éventuelles requêtes de type *POST* vers
*/owa/auth/Current/themes/resources/* ;
- en cas de compromission, de contrôler le système d’information pour
détecter d’éventuelles latéralisations ainsi qu’une compromission
des serveurs Active Directory.
Enfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne
devraient pas être exposés sans protection sur Internet. Il est
fortement recommandé d’appliquer les bonnes pratiques publiées par
l’ANSSI pour le nomadisme
[\[3\]](https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/).
EPSS 53.03% · 97.9th percentile
