Rapport sur la vulnérabilité du serveur Microsoft Exchange à l’attaque du groupe Hafnium
Logiciels touchés confirmés :
- Microsoft Exchange
Sommaire
Plus tôt ce mois-ci, Microsoft a publié des renseignements sur une série de vulnérabilités qui touchent la version sur site du serveur de messagerie électronique Exchange. Si elles sont exploitées, ces vulnérabilités peuvent entraîner une compromission grave du serveur et de l’environnement dans lequel celui-ci est hébergé.
Les renseignements contenus dans la présente alerte proviennent de plusieurs sources et sont exacts en date de publication. Nous nous attendons à ce que des mises à jour soient apportées à cette alerte à mesure que d’autres renseignements deviendront disponibles.
Ces vulnérabilités sont exploitées activement partout dans le monde, principalement par l’auteur de menaces HAFNIUM afin d’accéder aux serveurs Exchange sur site. Bien que certains rapports mettent en lumière des attaques ciblant précisément des entreprises et des entités établies aux États-Unis, il y a des répercussions mondiales et les victimes sont situées partout dans le monde.
L’enchaînement de ces vulnérabilités permet à des attaquants distants non authentifiés d’exécuter du code arbitraire sur le serveur Exchange, compromettant ainsi complètement le système. Microsoft a découvert les problèmes en examinant les campagnes d’attaque en cours dans le monde.
Dans le présent document, nous avons compilé une liste de renseignements rendus publics au sujet des vulnérabilités, de la façon de vérifier si un serveur Exchange est vulnérable et de la façon de vérifier s’il y a des preuves qu’un serveur a été compromis. Nous recommandons que toute entité qui utilise un serveur Exchange connecté à Internet apporte sans délai des correctifs aux serveurs vulnérables et vérifie s’il y a des preuves qu’un serveur a été compromis. Pour obtenir de l’aide quant à l’un ou l’autre des processus, veuillez communiquer avec Solutions de risques cybernétiques d’Aon.
Liste des vulnérabilités
1. CVE-2021-26855 (vulnérabilité SSRF de serveur Exchange)
CVSS:3.0 9.1 / 8.4
Aperçu
Une vulnérabilité de falsification de demandes côté serveur a été découverte dans Exchange et le code CVE-2021-26855 lui a été attribué. Cette vulnérabilité a permis à un attaquant d’envoyer des demandes HTTP arbitraires et de s’authentifier comme le serveur Exchange.
Microsoft a publié un script Nmap pour tester une installation OWA par rapport à cette vulnérabilité :
- https://github.com/microsoft/CSS-Exchange/blob/ main/Security/http-vuln-cve2021-26855.nse
Exemple :
2. CVE-2021-26857 (rédaction de fichiers arbitraires)
CVSS:3.0 7.8 / 7.2
Une vulnérabilité de désérialisation non sécurisée a été découverte dans le service de messagerie unifiée et on lui a attribué le code CVE-2021-26857. Une désérialisation non sécurisée classée comme vulnérabilité se produit lorsque des données non fiables et contrôlables par l’utilisateur sont désérialisées par un programme, ce qui peut entraîner l’exécution de code arbitraire. L’exploitation de cette vulnérabilité a donné à l’auteur de menaces HAFNIUM la capacité d’exécuter du code dans le contexte de sécurité SYSTÈME sur le serveur Exchange. Des autorisations d’administrateur ou une autre vulnérabilité sont nécessaires pour exploiter cette vulnérabilité.
3. CVE-2021-26858 (rédaction de fichiers arbitraires)
CVSS:3.0 7.8 / 7.2
Une vulnérabilité à la rédaction de fichiers arbitraires authentifiés a été découverte dans Exchange et le code CVE-2021-26858 lui a été attribué. Les pirates capables de s’authentifier auprès du serveur Exchange peuvent exploiter cette vulnérabilité pour rédiger un fichier à un emplacement arbitraire sur le système. Les pirates peuvent enchaîner cette vulnérabilité avec la vulnérabilité de falsification de demandes côté serveur CVE-2021-26855 afin de permettre une attaque non authentifiée.
4. CVE-2021-27065 (rédaction de fichiers arbitraires)
CVSS:3.0 7.8 / 7.2
Une vulnérabilité à la rédaction de fichiers arbitraires authentifiés a été découverte dans Exchange et le code CVE-2021-27065 lui a été attribué. Les pirates capables de s’authentifier auprès du serveur Exchange peuvent exploiter cette vulnérabilité pour rédiger un fichier à un emplacement arbitraire sur le système. Les pirates peuvent enchaîner cette vulnérabilité avec la vulnérabilité de falsification de demandes côté serveur CVE-2021-26855 afin de permettre une attaque non authentifiée.
Mesures correctives
Si possible, Microsoft recommande d’appliquer les mises à jour de sécurité immédiatement à tous les serveurs Exchange concernés. Les mises à jour et les renseignements connexes sont accessibles ici :
- https://techcommunity.microsoft.com/t5/ exchange-team-blog/released-march-2021- exchange-server-security-updates/ba-p/2175901
Des mesures d’atténuation temporaires sont également disponibles au cas où les mises à jour ne pourraient pas être appliquées immédiatement; en particulier, il faut prendre les mesures suivantes pour atténuer temporairement les attaques :
Microsoft a publié le script suivant pour appliquer toutes les mesures d’atténuation ci-dessus :
Les mesures d’atténuation appliquées nécessitent l’installation du module de réécriture d’URL IIS, qui peut être installé à l’aide du script. Les mesures d’atténuation peuvent avoir une incidence sur les fonctionnalités d’Exchange et peuvent également être annulées au moyen du même script, au besoin.
Ces mesures d’atténuation n’évinceront pas un pirate qui a pu compromettre l’accès au serveur; consultez la section Détection ci-dessous pour obtenir de plus amples renseignements sur la détection des compromissions en cours. Pour obtenir de plus amples renseignements, consultez le billet suivant de Microsoft :
- https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
Détection
Il est recommandé d’entreprendre immédiatement une enquête afin de déterminer si un pirate informatique a déjà été en mesure d’exploiter ces problèmes pour accéder à un serveur Exchange qui aurait pu avoir été exposé. Cette enquête doit être menée en parallèle après l’application des mesures correctives recommandées.
Microsoft a décrit en détail les étapes manuelles requises pour vérifier s’il y a eu des attaques dans les journaux Exchange dans le billet de blogue suivant; il faut entre autres procéder à la collecte des journaux des services connexes et à la numérisation pour la recherche des indicateurs de compromission.
Un script a également été publié pour automatiser ces vérifications et recueillir les journaux connexes :
Exemple d’utilisation :
Un script supplémentaire est disponible pour numériser l’installation d’Exchange afin de repérer un fichier potentiellement malveillant :
Utilisation :
Comment nous pouvons vous aider
Solutions de risques cybernétiques d’Aon peut vous aider à rechercher, à protéger et à résoudre dans le cadre de vos défis en matière de cybersécurité. Aon est un fournisseur de services indépendant de premier plan certifié vert par le CREST et le NCSC qui se spécialise dans l’offre de services professionnels sur mesure d’assurance de la sécurité et de transfert des risques à une vaste gamme de clients des secteurs privé et public, y compris des tests de pénétration, l’investigation numérique et la réponse aux incidents numériques, la quantification des cyberrisques et le courtage en cyberassurance.
Pour les organisations potentiellement vulnérables, il peut être essentiel de cerner et de corriger cette situation pour limiter l’exposition de l’entreprise. Si ces vulnérabilités ou toute autre forme de vulnérabilité touchent votre organisation, notre équipe des tests de sécurité est à votre disposition pour vous aider à repérer les vulnérabilités qui pourraient nuire à votre organisation et vous conseiller sur la meilleure façon de les corriger.
Pour les organisations présentant une vulnérabilité potentielle relativement à la chaîne d’approvisionnement ou à un tiers, il peut être critique de comprendre et de cerner les indicateurs possibles de compromission afin de comprendre l’incidence et la portée pour gérer la défense contre l’attaque avant que les dommages ne soient causés – ou avant d’apprendre l’existence d’une brèche d’un tiers ou dans les médias.
Notre service d’évaluation des compromissions permet aux entreprises d’effectuer des analyses ciblées et de recueillir des preuves potentielles pour répondre à la question suivante : « Avons-nous déjà été compromis? » Nous effectuons des analyses pour repérer les intrusions continues ou historiques dans un environnement. Nous utilisons une combinaison de technologies de pointe, d’outils exclusifs et de méthodologies robustes pour aider à mettre au jour les vecteurs d’attaque, les techniques et la technologie. En cherchant proactivement des preuves de compromission ou d’intention, nous pouvons aider à repérer les tendances d’attaque largement connues, ainsi que les activités potentiellement suspectes et les valeurs aberrantes qui pourraient autrement échapper aux solutions de sécurité traditionnelles ou plus automatisées.
Ce document a été préparé à des fins d’information seulement et ne doit pas être considéré pour toute autre fin. Vous devez consulter vos propres conseillers professionnels ou votre propre service des TI avant de mettre en œuvre toute recommandation ou orientation fournie dans les présentes. De plus, les renseignements fournis et les déclarations exprimées ne sont pas destinés à traiter des circonstances d’une personne ou d’une entité en particulier. Bien que nous nous efforcions de fournir des renseignements exacts et actuels et d’utiliser des sources que nous jugeons fiables, nous ne pouvons garantir que l’information est exacte au moment où elle est reçue ou qu’elle continuera de l’être à l’avenir. Entre autres, Microsoft peut apporter des modifications ou d’autres parties peuvent fournir des renseignements à jour sur ces vulnérabilités ou les actions de HAFNIUM ou d’autres auteurs de menaces.
Télécharger le rapport
À propos de Solutions de risques cybernétiques : Solutions de risques cybernétiques d’Aon offre une approche globale de la gestion des cyberrisques, des compétences inégalées en investigation, ainsi que des technologies exclusives qui aident les clients à repérer et à quantifier les cyberrisques, à protéger les actifs essentiels et à se rétablir après des cyberincidents.
À propos d’Aon : Aon plc (NYSE : AON) est le principal fournisseur mondial d’une vaste gamme de solutions pour la gestion du risque, des régimes de retraite et des programmes de santé. Nos 50 000 employés de 120 pays génèrent des résultats pour les clients grâce à des données et à des analyses exclusives produisant des points de vue permettant de réduire la volatilité et d’améliorer le rendement.
Les descriptions, résumés et renseignements sur la couverture sont fournis à titre informatif seulement et ne modifient pas les modalités réelles d’une police d’assurance. La couverture est régie uniquement par les modalités de la police pertinente.
Aon UK Limited est autorisée et réglementée par la Financial Conduct Authority (FCA) du Royaume-Uni. Les produits ou services suivants ne sont pas réglementés par la FCA :
*Les services liés aux cyberrisques sont offerts par Aon UK Limited et ses sociétés affiliées.
*Les services de cybersécurité sont offerts par Stroz Friedberg Limited et ses sociétés affiliées.
Les services de cybersécurité sont offerts par Stroz Friedberg Inc. et ses sociétés affiliées. Les produits et services d’assurance sont offerts par Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. et Aon Risk Services, Inc. of Florida et leurs sociétés affiliées autorisées.
La présente alerte destinée aux clients ne constitue pas un avis juridique. Ni Solutions de risques cybernétiques d’Aon ni Intervention en cas d’incident de Stroz Friedberg ne pratiquent le droit. Si vous avez besoin de conseils juridiques ou de services juridiques relativement à un rançongiciel ou à un incident lié à un rançongiciel, nous vous encourageons à faire appel à votre conseiller juridique interne ou externe.
© 2021 Aon plc. Tous droits réservés.