Dans un premier temps, Microsoft n’a pas réagi à la découverte faite par une société vietnamienne de cybersécurité, GTSC, de failles critiques dans Exchange Server utilisées dans des attaques. Ces failles de type zero day n’avaient même pas de classification. C’est aujourd’hui le cas, Microsoft a indiqué dans un bulletin que « la première vulnérabilité, identifiée sous le nom de CVE-2022-41040, est une vulnérabilité de falsification de requête côté serveur (SSRF), tandis que la seconde, identifiée sous le nom de CVE-2022-41082, permet l'exécution de code à distance (RCE) lorsque PowerShell est accessible à l'attaquant ».
Sur l’exploitation, « Microsoft a connaissance d’attaques ciblées limitées utilisant les deux failles pour s’introduire dans les systèmes des utilisateurs ». La société a ajouté que la faille CVE-2022-41040 ne pouvait être exploitée que par des attaquants authentifiés. Une exploitation réussie leur permet ensuite de déclencher une exécution de code à distance de la brèche CVE-2022-41082.
Des correctifs attendus et des mesures d’atténuation mises en place
Les versions 2013, 2016 et 2019 d’Exchange Server sont concernées par ces failles. Les clients de Microsoft Exchange Online n'ont pas besoin de prendre de mesures pour le moment car les zero-day n'ont un impact que sur les instances Exchange on prem. « Nous travaillons sur un calendrier accéléré pour publier un correctif. D'ici là, nous fournissons les conseils d'atténuation et de détection ci-dessous pour aider les clients à se protéger contre ces attaques », précise l’éditeur.
Il indique que les clients concernés, « doivent examiner et appliquer les instructions de réécriture d'URL suivantes et bloquer les ports Remote PowerShell exposés ». Et d’ajouter, « l'atténuation actuelle consiste à ajouter une règle de blocage dans « IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions « bloquer les modèles d'attaque connus ». Étant donné que les acteurs de la menace peuvent également accéder à PowerShell Remoting sur des serveurs Exchange exposés et vulnérables pour exécuter du code à distance via l'exploitation de CVE-2022-41082, Microsoft conseille également aux administrateurs de bloquer les ports PowerShell distants suivants pour entraver les attaques : HTTP : 5985 et HTTPS : 5986. A noter que la société GTSC propose de savoir si ses serveurs Exchange ont été compromis en exécutant une commande pour analyser les fichiers de logs IIS à la recherche d’indicateurs de compromission. La commande est : Get-ChildItem -Recourse -Path -Filtre "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'.
La commande power shell comporte une erreur. voici une proposition de correction Get-ChildItem -Recurse -Path -Filtre "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200'
Signaler un abusRemplacer "-recourse" par recurse