Quel est le problème ?
En janvier 2021, Volexity a découvert un Zero-Day de type Server Side Request Forgery (SSRF) dans Microsoft Exchange Server (CVE-2021-26855) lorsqu'il a été exploité sur l'un de leurs serveurs. La vulnérabilité de pré-authentification est grave, permettant aux attaquants de vider le contenu de la boîte aux lettres, et une enquête ultérieure a révélé que les attaquants enchaînaient la vulnérabilité SSRF avec un exploit RCE supplémentaire (CVE-2021-27065) pour exécuter du code à distance sur les serveurs Exchange. Cette vulnérabilité a été exploitée dans la nature dès le 3 janvier 2021.
Le 2 mars 2021, Microsoft a publié plusieurs mises à jour de sécurité qui corrigent ces vulnérabilités critiques (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) dans Microsoft Exchange Server 2013, 2016, et 2019 ; ils ont récemment publié des mises à jour supplémentaires pour Exchange 2010 également. Les versions affectées comprennent :
- 2013 CU 23
- 2016 CU 19
- 2016 CU 18
- 2019 CU 8
- 2019 CU 7
Au 9 mars 2021, Censys a observé 251 211 serveurs Microsoft Exchange (versions 2013, 2016 ou 2019) sur Internet. Exchange Server inclut des informations sur la version dans la page Outlook Web Access (OWA), ce qui nous a permis de déterminer si les serveurs exécutent une version affectée d'Exchange. Plus de 50 % des serveurs Exchange 2013, 2016 et 2019 sont l'une de ces 5 versions, même si nous notons que les données de version signalées n'incluent pas le niveau de correctif du serveur, ce qui nous empêche de détecter si un hotpatch qui corrige ces vulnérabilités spécifiques a été appliqué.
Plus de 50% des serveurs Exchange de 2013, 2016 et 2019 sont l'une de ces 5 versions spécifiques affectées.
Les principaux pays où des serveurs Exchange ont été observés sont les États-Unis, l'Allemagne, le Royaume-Uni, les Pays-Bas et la Russie.
En plus d'identifier les serveurs Microsoft Exchange dans le monde entier, Censys a également cartographié l'emplacement de ces serveurs par fournisseur de services en nuage.
Pourquoi est-ce important ?
Les serveurs touchés sont répandus dans le monde entier, dans tous les secteurs d'activité. Nous avons pris un échantillon aléatoire d'adresses IP aux États-Unis et les avons mises en correspondance avec des secteurs d'activité. Nous avons constaté qu'environ 20 % des serveurs Exchange américains sont associés à des établissements d'enseignement tels que les universités. Cependant, l'étendue des secteurs d'activité est notable et touche tout le monde, du commerce de détail aux télécommunications en passant par les sociétés de logiciels.
Microsoft fait état d'inquiétudes croissantes concernant l'exploitation active et permanente de différents groupes, ce qui a de graves conséquences pour les organisations. Les inquiétudes portent notamment sur les points suivants
- Shells Web : Des shells web ont été déposés sur des systèmes, permettant l'utilisation future de portes dérobées.
- Mouvement latéral : Tentatives de déplacement latéral et de compromission de l'organisation.
- Malware / Ransomware : Installation d'un malware ou d'un ransomware supplémentaire.
- Vidage d'informations d'identification : Voler les informations d'identification des systèmes en vue d'une utilisation ultérieure ou d'autres tentatives d'exploitation de l'organisation.
D'autres rapports de Volexity ont également révélé l'exfiltration active de données telles que des boîtes de réception de courrier électronique complètes.
Que dois-je faire ?
Tirez parti des outils open source de Microsoft pour déterminer si vos serveurs Microsoft Exchange sont vulnérables le plus rapidement possible. Microsoft a publié un ensemble de scripts nmap et powershell qui peuvent être utilisés pour déterminer si vous êtes vulnérable, et qui ont été approuvés par la CISA.
Si vous trouvez des serveurs Exchange vulnérables dans votre environnement, déployez immédiatement les derniers correctifs de sécurité de Microsoft et assurez-vous que les données de votre organisation sont sauvegardées.
Ressources
