La vulnérabilité Microsoft Exchange a été corrigée en février et a été ciblée par plusieurs groupes de menaces.
Plus de 80% des serveurs Exchange exposés sont toujours vulnérables à une vulnérabilité grave – près de deux mois après la correction de la faille et après que les chercheurs ont averti que plusieurs groupes de menaces l’exploitaient.
La vulnérabilité en question (CVE-2020-0688) existe dans le panneau de configuration d’Exchange, le serveur de messagerie et le serveur d’agenda de Microsoft. La faille, qui provient du fait que le serveur ne parvient pas à créer correctement des clés uniques au moment de l’installation, ouvre les serveurs à des attaquants authentifiés, qui pourraient exécuter du code à distance sur eux avec des privilèges système.
Les chercheurs ont récemment utilisé Project Sonar, un outil d’analyse, pour analyser les serveurs Exchange accessibles sur Internet et détecter les vulnérabilités à la faille. Sur les 433 464 serveurs Exchange connectés à Internet observés, au moins 357 629 étaient vulnérables (au 24 mars).
“Si votre organisation utilise Exchange et que vous ne savez pas s’il a été mis à jour, nous vous invitons vivement à passer immédiatement à la section Passer à l’action”, a déclaré Tom Sellers, directeur de l’équipe Rapid7 Labs, dans une analyse lundi.
Bien que la faille ait été corrigée dans le cadre des mises à jour de Microsoft Patch Tuesday de février, les chercheurs ont averti dans un avis de mars que les serveurs non corrigés étaient exploités dans la nature par des acteurs de la menace persistante avancée (APT) anonymes. Les attaques ont commencé pour la première fois fin février et ciblaient “de nombreuses organisations affectées”, ont indiqué des chercheurs. Ils ont observé que les attaquants exploitaient la faille pour exécuter des commandes système pour effectuer des reconnaissances, déployer des portes dérobées Webshell et exécuter des cadres en mémoire après l’exploitation.
Brian Gorenc, directeur de la recherche sur la vulnérabilité et responsable du programme ZDI de Trend Micro (crédité de la découverte de la faille), a déclaré à Threatpost par e-mail que bien que la vulnérabilité ait été qualifiée de «grave» par Microsoft, les chercheurs estiment qu’elle devrait être traitée comme «critique». . ”
“C’est pourquoi nous avons travaillé avec Microsoft pour le corriger grâce à une divulgation coordonnée, et c’est pourquoi nous avons fourni aux défenseurs des informations détaillées à ce sujet via notre blog”, a-t-il déclaré. «Nous avons estimé que les administrateurs Exchange devraient traiter cela comme un correctif critique plutôt qu’important comme étiqueté par Microsoft. Nous encourageons tout le monde à appliquer le correctif dès que possible pour se protéger de cette vulnérabilité. »
Les problèmes de gestion des correctifs avec les serveurs Exchange s’étendent au-delà de CVE-2020-0688. Les vendeurs ont déclaré que son enquête a révélé que plus de 31 000 serveurs Exchange 2010 n’avaient pas été mis à jour depuis 2012. Et, il y a près de 800 serveurs Exchange 2010 qui n’ont jamais été mis à jour, a-t-il déclaré.
Les vendeurs ont exhorté les administrateurs à vérifier qu’une mise à jour a été déployée. Il a également déclaré que les utilisateurs peuvent déterminer si quelqu’un a tenté d’exploiter la vulnérabilité dans leur environnement: “Étant donné que l’exploitation nécessite un compte d’utilisateur Exchange valide, tout compte lié à ces tentatives doit être traité comme compromis”, a déclaré Sellers.
“L’étape la plus importante consiste à déterminer si Exchange a été mis à jour”, a déclaré les vendeurs. «La mise à jour pour CVE-2020-0688 doit être installée sur n’importe quel serveur avec le panneau de configuration Exchange (ECP) activé. Il s’agit généralement de serveurs dotés du rôle CAS (Client Access Server), où vos utilisateurs accèdent à Outlook Web App (OWA). »