🚨[ALERTE CERT] Vulnérabilité critique dans Microsoft Exchange Server On-Premises. 🚨

Marvin PEDRON Alerte CERT

Introduction

Cette semaine Microsoft a publié des correctifs en urgence pour les serveurs de messagerie Exchange afin de corriger quatre vulnérabilités critiques non divulguées auparavant (0-Day).

Les systèmes affectés

Plusieurs vulnérabilités critiques, actuellement exploitées, affectent les serveurs de messagerie Microsoft. Elles concernent uniquement les serveurs Microsoft Exchange On-Premises. Les services Exchange Online (EOL) ne sont pas affectés.

Les versions affectées sont les suivantes :

  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

Qualification de la sévérité

La sĂ©vĂ©ritĂ© des vulnĂ©rabilitĂ©s associĂ©es Ă  cette publication a Ă©tĂ© estimĂ©e Ă  critique par les Ă©quipes du CERT Devoteam.

La liste des vulnérabilités

CVE-2021-26855 (CVSSv3 : 9.1) : Cette vulnĂ©rabilitĂ© est de type SSRF (Server-Side Request Forgery). Concrètement, un attaquant distant non authentifiĂ© peut exploiter cette faille en envoyant une requĂŞte HTTP forgĂ©e Ă  l’intention d’un serveur Exchange vulnĂ©rable. Afin d’exploiter cette faille, Microsoft prĂ©cise que la configuration du serveur Exchange doit accepter des connexions non fiables sur le port 443. Une exploitation rĂ©ussie de cette faille permettrait Ă  l’attaquant de s’authentifier auprès du serveur Exchange de manière illĂ©gitime.

La CVE-2021-26857 (CVSSv3 : 7.8) est une vulnĂ©rabilitĂ© due Ă  une faiblesse de la dĂ©sĂ©rialisation dans le service de messagerie unifiĂ© Exchange.  Au travers de cette CVE, l’attaquant peut rĂ©aliser une RCE (Remote Code Execution) avec les privilèges SYSTEM sur le serveur Exchange. Les privilèges administrateur est un prĂ©requis avant d’exploiter cette vulnĂ©rabilitĂ©

les vulnĂ©rabilitĂ©s CVE-2021-26858 (CVSSv3 : 7.8) et CVE-2021-27065 (CVSSv3 : 7.8) permettent Ă  un attaquant de pouvoir Ă©crire un fichier de manière arbitraire. Suite Ă  l’exploitation de celle-ci, il peut Ă©crire un fichier malveillant au sein de l’arborescence (e.g : Reverse Shell, Web Shell). Cependant, l’attaquant doit possĂ©der des permissions, il peut exploiter la CVE-2021-26855 afin de pouvoir s’identifier ou compromettre les identifiants d’un administrateur via une autre attaque (e.g : Spear-Phishing).

Scénario

Microsoft a fourni des dĂ©tails sur la manière dont le groupe HAFNIUM (groupe d’attaquant) exploite les CVE critiques mentionnĂ©es ci-dessus.

Le scĂ©nario d’attaque est le suivant :

  1. La première Ă©tape de l’attaque consiste Ă  utiliser la CVE-2021-26855 afin d’exploiter la SSRF pour s’identifier sur le serveur Exchange.
  2. Après avoir rĂ©ussi Ă  Ă©tablir la connexion, l’attaquant peut exploiter la CVE-2021-26857 qui lui donne la possibilitĂ© d’exĂ©cuter du code avec les privilèges SYSTEM sur le serveur Exchange cible.
  3. Dans le cadre de ces actions de post-authentification, l’attaquant Ă  la possibilitĂ© d’exploiter les CVE-2021-26858 et CVE-2021-27065 et procède Ă  l’Ă©criture de fichiers vers n’importe quel chemin du serveur cible..

Solution

Dans un premier temps, afin de vous protĂ©ger contre les vulnĂ©rabilitĂ©s, nous vous invitons Ă  appliquer les mesures proposĂ©es par l’ANSSI que vous trouverez ci-dessous :

  • DĂ©connecter immĂ©diatement les serveurs Exchange qui seraient exposĂ©s sur Internet sans protection le temps d’appliquer les correctifs.
  • ProcĂ©der Ă  l’analyse des serveurs Exchange afin d’identifier une possible compromission Ă  l’aide des indicateurs de compromission publiĂ©s par l’éditeur et de Volexity. Une première Ă©tape consistera notamment Ă  effectuer une recherche d’antĂ©cĂ©dents dans les logs des serveurs web de Outlook Web Access afin de dĂ©celer d’Ă©ventuelles requĂŞtes de type POST vers /owa/auth/Current/themes/resources/.
  • En cas de compromission, de contrĂ´ler le système d’information pour dĂ©tecter d’éventuelles latĂ©ralisations ainsi qu’une compromission des serveurs Active Directory.

Dans un second temps, appliquez immédiatement les correctifs de sécurité fournis par Microsoft sur l’ensemble des serveurs Exchange disponibles ici.

Indicateurs de compromission

Veuillez trouver ci-dessous une liste des indicateurs de compromissions communiquée par Microsoft :

Web shell hashes

  • b75f163ca9b9240bf4b37ad92bc7556b40a17e27c2b8ed5c8991385fe07d17d0
  • 097549cf7d0f76f0d99edf8b2d91c60977fd6a96e4b8c3c94b0b1733dc026d3e
  • 2b6f1ebb2208e93ade4a6424555d6a8341fd6d9f60c25e44afe11008f5c1aad1
  • 65149e036fff06026d80ac9ad4d156332822dc93142cf1a122b1841ec8de34b5
  • 511df0e2df9bfa5521b588cc4bb5f8c5a321801b803394ebc493db1ef3c78fa1
  • 4edc7770464a14f54d17f36dc9d0fe854f68b346b27b35a6f5839adf1f13f8ea
  • 811157f9c7003ba8d17b45eb3cf09bef2cecd2701cedb675274949296a6a183d
  • 1631a90eb5395c4e19c7dbcbf611bbe6444ff312eb7937e286e4637cb9e72944

Chemin

  • C:\inetpub\wwwroot\aspnet_client\
  • C:\inetpub\wwwroot\aspnet_client\system_web\
  • In Microsoft Exchange Server installation paths such as:
    • %PROGRAMFILES%\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
    • C:\Exchange\FrontEnd\HttpProxy\owa\auth\

Les noms des potentiels fichiers malveillants se trouvent dans la liste ci-dessous :

  • web.aspx
  • help.aspx
  • document.aspx
  • errorEE.aspx
  • errorEEE.aspx
  • errorEW.aspx
  • errorFF.aspx
  • healthcheck.aspx
  • aspnet_www.aspx
  • aspnet_client.aspx
  • xx.aspx
  • shell.aspx
  • aspnet_iisstart.aspx
  • one.aspx

Vérifier la présence des outils comme :

Vous pouvez trouver l’ensemble des indices de compromission dans Microsoft Defender et Azure Sentinel ici.

Références

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-004/

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/#scan-log

Auteur : PEDRON Marvin