Microsoft Exchange: une faille concerne 350 000 serveurs

Plus de 80% des serveurs Exchange exposés sont toujours vulnérables à une faille de sécurité grave près de deux mois après la correction de la faille et après que les chercheurs aient averti que plusieurs groupes de cybercriminels l’exploitait.

La faille de sécurité en question (CVE-2020-0688) se trouve dans le panneau de configuration d’Exchange, le serveur de messagerie et le serveur d’agenda de Microsoft. La faille, qui provient du fait que le serveur ne parvient pas à créer correctement des clés uniques au moment de l’installation, ouvre les serveurs à des attaquants authentifiés, qui pourraient exécuter du code à distance sur eux avec des privilèges système.

Les chercheurs ont récemment utilisé Project Sonar, un outil d’analyse, pour analyser les serveurs Exchange accessibles sur Internet et détecter ceux qui étaient vulnérables à la faille de sécurité. Sur les 433 464 serveurs Exchange connectés à Internet qui ont été observés, au moins 357 629 étaient vulnérables (au 24 mars).

“Si votre organisation utilise Exchange et que vous ne savez pas s’il a été mis à jour, nous vous invitons vivement à passer immédiatement à la section Passer à l’action”, a déclaré Tom Sellers, directeur de l’équipe Rapid7 Labs, dans une analyse.

exchange

Bien que la faille ait été corrigée dans le cadre des mises à jour de Microsoft Patch Tuesday au mois de Février, les chercheurs ont averti dans un avis au mois de Mars que les serveurs non corrigés étaient exploités par des cybercriminels anonymes. Les attaques ont commencé pour la première fois fin Février et ciblaient “de nombreuses organisations affectées”, ont indiqué des chercheurs. Ils ont observé que les attaquants exploitaient la faille pour exécuter des commandes système, effectuer des reconnaissances, déployer des portes dérobées Webshell et exécuter des frameworks en mémoire après l’exploitation.

Brian Gorenc, directeur de recherche de vulnérabilités et responsable du programme ZDI de Trend Micro (crédité de la découverte de la vulnérabilité), a déclaré que bien que la faille de sécurité ait été qualifiée de «grave» par Microsoft, les chercheurs estiment qu’elle devrait plutôt être traitée comme «critique».

“C’est pourquoi nous avons travaillé avec Microsoft pour la corriger grâce à une divulgation coordonnée, et c’est pourquoi nous avons fourni aux experts de la sécurité des informations détaillées à ce sujet via notre blog”, a-t-il déclaré. «Nous avons estimé que les administrateurs Exchange devraient traiter cela comme un correctif critique plutôt qu’important comme étiqueté par Microsoft. Nous encourageons tout le monde à appliquer le correctif dès que possible pour se protéger de cette faille de sécurité. »

microsoft exchange

Les problèmes de gestion des correctifs avec les serveurs Exchange s’étendent au-delà de CVE-2020-0688. Sellers a déclaré que son enquête a révélé que plus de 31 000 serveurs Exchange 2010 n’ont pas été mis à jour depuis 2012. Et, il y a près de 800 serveurs Exchange 2010 qui n’ont jamais été mis à jour, a-t-il déclaré.

Vérifiez que la mise à jour d’Exchange a été effectuée

Sellers a recommandé aux administrateurs de vérifier qu’une mise à jour a été déployée. Il a également déclaré que les utilisateurs peuvent déterminer si quelqu’un a tenté d’exploiter la vulnérabilité dans leur environnement: «Étant donné que l’exploitation nécessite un compte d’utilisateur Exchange valide, tout compte lié à ces tentatives doit être traité comme compromis», a déclaré Sellers.

“L’étape la plus importante consiste à déterminer si Exchange a été mis à jour”, a déclaré Sellers. «La mise à jour pour CVE-2020-0688 doit être installée sur tout serveur avec le panneau de configuration Exchange (ECP) activé. Il s’agit généralement de serveurs dotés du rôle CAS (Client Access Server), où vos utilisateurs accèdent à Outlook Web App (OWA). »

Si cet article vous a plu, jetez un œil à notre article précédent.