Une nouvelle CVE a été signalée(CVE-2019-1136) qui permet à un attaquant d'accéder aux boîtes aux lettres électroniques de n'importe quel utilisateur, si elle est exploitée. Il n'existe pas encore d'exploits connus pour cette vulnérabilité, mais toute vulnérabilité permettant des attaques par escalade de privilèges mérite l'attention des équipes informatiques et de sécurité. Microsoft a récemment publié un avis officiel sur cette vulnérabilité :
Une vulnérabilité de type élévation de privilèges existe dans Microsoft Exchange Server. Un attaquant qui réussirait à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que n'importe quel autre utilisateur du serveur Exchange. Cela pourrait permettre à l'attaquant d'effectuer des activités telles que l'accès aux boîtes aux lettres d'autres utilisateurs. L'exploitation de cette vulnérabilité nécessite que les services Web Exchange (EWS) soient activés et utilisés dans un environnement affecté. Pour exploiter cette vulnérabilité, un attaquant devrait exécuter une attaque de type "man-in-the-middle" pour transmettre une demande d'authentification à un serveur Microsoft Exchange, permettant ainsi l'usurpation de l'identité d'un autre utilisateur d'Exchange. Pour remédier à cette vulnérabilité, Microsoft a modifié la façon dont EWS gère les jetons NTLM.
Comment trouver les serveurs affectés en Censys
Nous avons voulu présenter aux utilisateurs de Censys (en particulier aux chasseurs de menaces et aux pentesters parmi vous) quelques méthodes pour utiliser nos données afin de trouver ces vulnérabilités. Voici comment nous avons procédé pour rechercher les serveurs affectés.
- Nous avons extrait de l'avis de Microsoft la liste des versions de logiciels affectées par cette vulnérabilité.
- Nous avons ensuite traduit ces chiffres en chiffres de construction, en utilisant ces informations comme ressource.
- Avec les numéros de build et leurs dates de publication à portée de main, nous avons pu faire une recherche dans Censys pour voir les serveurs qui sont exposés dans l'en-tête HTTP X-OWA-Version et faire une recherche dans ce champ en utilisant le OU pour trouver toute version affectée.
- Voici la vue du Report Builder de ces résultats de recherche, ventilés par pays : https://is.gd/FNW4T7
Ce rapport montre que les serveurs vulnérables se trouvent principalement aux États-Unis et que nous trouvons au moins 9700 serveurs vulnérables sur la base de cette approche de recherche.
Vous trouverez ici notre tutoriel rapide et pratique sur la manière dont nous avons trouvé ces serveurs affectés, afin que vous puissiez reproduire le processus en recherchant nos données pour de futurs CVE. La partie la plus difficile est toujours de traduire les informations relatives à la version affectée à partir de la description de la vulnérabilité et de la manière dont le logiciel rapporte ce numéro de version. Nous avons déjà décrit ce processus dans le cadre d'une exploration de la vulnérabilité de Microsoft Sharepoint, qui vaut peut-être la peine d'être consultée.
Nous serions ravis d'entendre vos réflexions, vos commentaires et vos suggestions dans le cadre de la conversation sur Twitter.