Microsoft : plus de 200 000 serveurs e-mails victimes de failles critiques... et toujours pas de patch disponible !

04 octobre 2022 à 20h10
15
© Shutterstock
© Shutterstock

Le temps commence à être long depuis le 30 septembre 2022, date à laquelle Microsoft a admis avoir identifié deux nouvelles vulnérabilités zero-day sur son service de messagerie professionnelle Microsoft Exchange.

En effet, cinq jours plus tard, aucun patch n'est officiellement disponible.

Deux vulnérabilités zero-day identifiées par Microsoft

Microsoft a confirmé que deux vulnérabilités sont non seulement identifiées, mais aussi activement exploitées depuis le début du mois d'août 2022 sur Microsoft Exchange. Plus précisément, l'entreprise fondée par Bill Gates a reconnu qu'un « nombre limité d'attaques a permis aux attaquants de pénétrer les systèmes des utilisateurs » d'Exchange.

Les versions 2013, 2016 et 2019 sont concernées. Depuis, la firme de Redmond a annoncé travailler activement sur des patchs, mais ceux-ci se font toujours attendre, alors que plus de 220 000 serveurs d'Exchange sont toujours sous la menace de pirates. L'alerte a été donnée par la société de cybersécurité vietnamienne GTSC, qui a notamment découvert que plusieurs sites web de clients d'Exchange étaient infectés par du code encoquillé.

De fait, la première vulnérabilité identifiée, baptisée CVE-2022-41040, contrefait les requêtes côté serveur. La deuxième, nommée CVE-2022-41082, permet l'exécution à distance du code encoquillé introduit par l'exploitation de la première vulnérabilité par un pirate qui a accès à PowerShell. Selon les chercheurs en sécurité de Microsoft, l'attaquant doit avoir à sa disposition un identifiant d'utilisateur valide à un serveur Exchange pour réussir son attaque.

Les années passent, et rien ne change, ou presque, pour Microsoft Exchange

Les chercheurs de GTSC regardent vers leurs voisins chinois en ce qui concerne l'origine de ces attaques, car le code encoquillé contient des caractères en chinois simplifié. Plus encore, il s'apparente à un code encoquillé connu sous le nom de « China Chopper » et identifié comme ayant été employé à plusieurs reprises par des groupes de hackers soutenus par l'État chinois.

En attendant le patch, la bonne nouvelle est que l'interface d'analyse antivirus de Microsoft Defender permet de détecter l'exploitation potentielle de l'une de ces failles sur Exchange. Il convient cependant de vérifier que l'analyse des répertoires Exchange ne figure pas sur la liste des exclusions lors des analyses antivirus, ce qui est parfois le cas pour des questions de performance.

Pour les clients d'Exchange sur site, Microsoft propose des instructions de réécriture d'URL ou de bloquer les exécutions de commande à distance pour PowerShell. Par ailleurs, ces actions ne sont pas nécessaires pour celles et ceux qui utilisent Exchange en ligne. Ces vulnérabilités et leur exploitation s'ajoutent à la (très) longue liste de failles et d'attaques menées à l'encontre de Microsoft Exchange.

Sources : ArsTechnica, ZDNet

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (15)

jvachez
Le produit n’est-il pas abandonné ? Il me semble qu’il n’y a plus que les offres hébergées directement par Microsoft maintenant.
mrassol
non tu peux toujours avoir des serveurs exchange locaux
Nereus
Oui il n’y a pas de patch, et ? Comme le dit le dernier paragraphe, MS documente un « vulnerability mitigation » qui a le mérite de ne pas nécessiter un redémarrage de l’infra.
TNZ
Boarf, tant qu’il y a les antivirus …
Aegis
c’est quoi du code encoquillé? Ça a un rapport avec les œufs ou les coquillettes ?
dredd
La bonne blague. La plupart des gouvernements, les agences gouvernementales, les institutions européennes etc ont tout sur des serveurs on prem. Que ce soit Exchange, les DC (pas d’Azure), les files server (pas de SharePoint), SCCM pas d’Intune Enpoint Manager etc etc.<br /> Pour le moment et aux dernières nouvelles, il n’était pas question de migrer (vu que j’ai entre autre implémenté SCCM avec mes collègues pour la diplomatie européenne et c’était à peine en phase de pilote quand je suis parti il y a deux ans).
jvachez
La version locale est citée mais quand on clique pour voir les offres on ne la voit plus.<br /> https://www.microsoft.com/fr-fr/microsoft-365/exchange/email
ti4444
En cette période de chaos informatique la dependance forte a Microsoft est une sacrée épée de damocles. Je suis bien content dans mon environnement pro d’avoir le moins de serveurs windows à gérer. C’est une horreur tant pour les correctifs qui sont hasardeux tant pour un système mal foutu si vous faites du on prem. A croire qu’il y a une sorte de volonté d’imposer des offres clouds locatives avec tous les problèmes que ça pose coût perte du contrôle des données patriot act etc
SplendoRage
Si si, Microsoft Exchange 2019 reste supporté jusqu’en 2025, date à laquelle il sera remplacé par Exchange 2025 (Actuellement appelé V.Next chez Microsoft pour le moment dans leur roadmap des produits « enterprise »)
lefranstalige
J’ai dû chercher.<br /> “Code encoquillé” = “Web Shell” francisé.
Caka
Les choses changent
dredd
Pas pour la plupart des organismes gouvernementaux. Ils ont leurs propres data centers et hébergent tout ce qu’ils peuvent.<br /> Pour moi oui, je suis entrain de faire passer ma boîte de SCCM à Intune donc je sais que des trucs changent, mais je sais que d’autres choses non. Pas encore en tous cas.
dredd
Oui, très souvent avec MS, les grands comptes passent directement pas des account managers de la boîte ou de resselers agréés.
Laurent_Marandet
J’héberge un maximum de machines virtuelles Linux et je m’en félicite tous les jours… Jamais de trucs foireux et, si une mise à jour d’un éditeur posait un problème retour en arrière avec le dernier snapshot.<br /> Par contre, avec une VM Windows 10 Pro, certaines mises à jour font sauter l’adressse ip fixée et repassent en DHCP ! Vraiment la nullité Microsoft dans toute sa splendeur. Obligé d’utiliser les rares versions LTSC de W10.
Voir tous les messages sur le forum