Si l'application de mises à jour de correctifs Microsoft nécessite toujours un peu de recul par rapport à d'éventuelles conséquences fonctionnelles, les experts cyber autant que les instances de sûreté dont l'ANSSI ne cessent de marteler le message de mettre à jour dès que possible ses systèmes informatiques. Libre à chaque entreprise de prendre ensuite sa décision en conscience. Il n'empêche que la situation est assez grave pour ne pas uniquement s'appuyer sur cette mise à jour pour se sentir en sécurité et qu'il convient donc avant de les appliquer de vérifier en amont que ses serveurs Exchange n'ont fait l'objet d'aucune compromission. Pour aider les utilisateurs, Microsoft a publié un script PowerShell appelé Test-ProxyLogon.ps1 pour vérifier les indicateurs de compromission (IOC) dans les journaux Exchange HttpProxy, les fichiers journaux Exchange et les journaux d'événements des applications Windows. Microsoft a également mis à jour Microsoft Defender pour détecter les web shell et autres IOC associés à ces attaques.
Fidèle à ses traditions, Microsoft a publié son dernier patch tuesday ce mardi 9 mars 2021. Après avoir donc lancé en urgence avant lui les correctifs pour failles Exchange exposant des millions de serveurs de messagerie, la firme de Redmond les inclus logiquement dedans. Il s'agit en l'occurrence des correctifs pour les CVE-2021-26854, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-26412, CVE-2021-27065 et CVE-2021-27078. Parmi elles, 4 sont critiques car faisant actuellement l'objet d'exploits.
De nombreux autres composants Microsoft touchés
Mais ce ne sont pas les seules à l'être puisqu'elles sont en tout 14 à atteindre ce niveau d'urgence. A savoir donc parmi les 10 restantes aussi les CVE-2021-26411 (corruption mémoire dans IE), CVE-2021-27074 et CVE-2021-27080 (exécution de code non signé dans Azure Sphere), CVE-2021-21300 (exécution de code distant dans Git pour Visual Studio), CVE-2021-24089, CVE-2021-26902 et CVE-2021-27061 (exécution de code dans HEVC Video Extensions), CVE-2021-26876 (exécution de code dans OpenType Font Parsing). Sans compter la CVE-2021-26867 relative à Hyper-V et la CVE-2021-26897 relative à l'exécution de code distant affectant Windows DNS Server.
« Il s'agit du deuxième mois consécutif avec une vulnérabilité de serveur DNS RCE, et ce bug critique de ce mois-ci a de la compagnie. Au total, 5 sont répertoriés en tant que vulnérabilités d'exécution de code à distance du serveur DNS », ont indiqué les chercheurs de zero day initiative. Parmi les 75 failles classées comme importantes, de nombreux composants Microsoft sont aussi concernés comme IE et Edge, Office, Azure Devops, Sharepoint... La vigilance reste donc de mise bien au-delà d'Exchange même si ce dernier nécessite bien sûr toutes les attentions des administrateurs et des responsables informatiques et sécurité.