Microsoft : plus de 200 000 serveurs e-mails victimes de failles critiques... et toujours pas de patch disponible !

Publié le 04 octobre 2022 à 20h10

Le temps commence à être long depuis le 30 septembre 2022, date à laquelle Microsoft a admis avoir identifié deux nouvelles vulnérabilités zero-day sur son service de messagerie professionnelle Microsoft Exchange.

En effet, cinq jours plus tard, aucun patch n'est officiellement disponible.

Deux vulnérabilités zero-day identifiées par Microsoft

Microsoft a confirmé que deux vulnérabilités sont non seulement identifiées, mais aussi activement exploitées depuis le début du mois d'août 2022 sur Microsoft Exchange. Plus précisément, l'entreprise fondée par Bill Gates a reconnu qu'un « nombre limité d'attaques a permis aux attaquants de pénétrer les systèmes des utilisateurs » d'Exchange.

Les versions 2013, 2016 et 2019 sont concernées. Depuis, la firme de Redmond a annoncé travailler activement sur des patchs, mais ceux-ci se font toujours attendre, alors que plus de 220 000 serveurs d'Exchange sont toujours sous la menace de pirates. L'alerte a été donnée par la société de cybersécurité vietnamienne GTSC, qui a notamment découvert que plusieurs sites web de clients d'Exchange étaient infectés par du code encoquillé.

De fait, la première vulnérabilité identifiée, baptisée CVE-2022-41040, contrefait les requêtes côté serveur. La deuxième, nommée CVE-2022-41082, permet l'exécution à distance du code encoquillé introduit par l'exploitation de la première vulnérabilité par un pirate qui a accès à PowerShell. Selon les chercheurs en sécurité de Microsoft, l'attaquant doit avoir à sa disposition un identifiant d'utilisateur valide à un serveur Exchange pour réussir son attaque.

Les années passent, et rien ne change, ou presque, pour Microsoft Exchange

Les chercheurs de GTSC regardent vers leurs voisins chinois en ce qui concerne l'origine de ces attaques, car le code encoquillé contient des caractères en chinois simplifié. Plus encore, il s'apparente à un code encoquillé connu sous le nom de « China Chopper » et identifié comme ayant été employé à plusieurs reprises par des groupes de hackers soutenus par l'État chinois.

En attendant le patch, la bonne nouvelle est que l'interface d'analyse antivirus de Microsoft Defender permet de détecter l'exploitation potentielle de l'une de ces failles sur Exchange. Il convient cependant de vérifier que l'analyse des répertoires Exchange ne figure pas sur la liste des exclusions lors des analyses antivirus, ce qui est parfois le cas pour des questions de performance.

Pour les clients d'Exchange sur site, Microsoft propose des instructions de réécriture d'URL ou de bloquer les exécutions de commande à distance pour PowerShell. Par ailleurs, ces actions ne sont pas nécessaires pour celles et ceux qui utilisent Exchange en ligne. Ces vulnérabilités et leur exploitation s'ajoutent à la (très) longue liste de failles et d'attaques menées à l'encontre de Microsoft Exchange.

Sources : ArsTechnica, ZDNet

Par Thibaut Keutchayan

Je m'intéresse notamment aux problématiques liant nouvelles technologies et politique tout en m'ouvrant à l'immense diversité des sujets que propose le monde de la tech' quand je ne suis pas en train de taper dans un ballon.

Articles de Thibaut Keutchayan

Piratage

Microsoft

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

jvachez

Le produit n’est-il pas abandonné ? Il me semble qu’il n’y a plus que les offres hébergées directement par Microsoft maintenant.

mrassol

non tu peux toujours avoir des serveurs exchange locaux

Nereus

Oui il n’y a pas de patch, et ? Comme le dit le dernier paragraphe, MS documente un « vulnerability mitigation » qui a le mérite de ne pas nécessiter un redémarrage de l’infra.

TNZ

Boarf, tant qu’il y a les antivirus …

Aegis

c’est quoi du code encoquillé? Ça a un rapport avec les œufs ou les coquillettes ?

dredd

La bonne blague. La plupart des gouvernements, les agences gouvernementales, les institutions européennes etc ont tout sur des serveurs on prem. Que ce soit Exchange, les DC (pas d’Azure), les files server (pas de SharePoint), SCCM pas d’Intune Enpoint Manager etc etc.

Pour le moment et aux dernières nouvelles, il n’était pas question de migrer (vu que j’ai entre autre implémenté SCCM avec mes collègues pour la diplomatie européenne et c’était à peine en phase de pilote quand je suis parti il y a deux ans).

jvachez

La version locale est citée mais quand on clique pour voir les offres on ne la voit plus.

https://www.microsoft.com/fr-fr/microsoft-365/exchange/email

ti4444

En cette période de chaos informatique la dependance forte a Microsoft est une sacrée épée de damocles. Je suis bien content dans mon environnement pro d’avoir le moins de serveurs windows à gérer. C’est une horreur tant pour les correctifs qui sont hasardeux tant pour un système mal foutu si vous faites du on prem. A croire qu’il y a une sorte de volonté d’imposer des offres clouds locatives avec tous les problèmes que ça pose coût perte du contrôle des données patriot act etc

SplendoRage

Si si, Microsoft Exchange 2019 reste supporté jusqu’en 2025, date à laquelle il sera remplacé par Exchange 2025 (Actuellement appelé V.Next chez Microsoft pour le moment dans leur roadmap des produits « enterprise »)

lefranstalige

J’ai dû chercher.

“Code encoquillé” = “Web Shell” francisé.