Microsoft confirme officiellement que deux vulnérabilités jour zéro de Microsoft Exchange 2013, 2016 et 2019 sont activement exploitées.
Une faille de sécurité jour zéro est une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. Aucune protection n’existe donc au moment de sa divulgation.
La première vulnérabilité, de référence CVE-2022-41040, est de type « Server-Side Request Forgery » : l’attaquant abuse d’une fonctionnalité d’un serveur afin d’accéder à, ou de manipuler des informations qui ne devraient pas lui être accessibles.
La seconde faille, de référence CVE-2022-41082, permet à l’attaquant d’exécuter tout code à distance.
Ces deux failles font l’objet d’une alerte du CERT-FR, de référence CERTFR-2022-ALE-008.
Sur le blogue du Microsoft Security Response Center on peut lire :*
« À l’heure actuelle, Microsoft a connaissance d’attaques ciblées limitées utilisant les deux vulnérabilités pour s’introduire dans les systèmes des utilisateurs. Dans ces attaques, CVE-2022-41040 peut permettre à un attaquant authentifié de déclencher à distance CVE-2022-41082. Il convient de noter qu’un accès authentifié au serveur Exchange vulnérable est nécessaire pour exploiter avec succès l’une ou l’autre des deux vulnérabilités. »
Les clients de Microsoft Exchange Online n’ont rien à entreprendre en réaction, car Microsoft s’en occupe.
Les clients ayant des installations de Microsoft Exchange sur leurs sites doivent en revanche entreprendre des actions défensives, détaillées dans le blogue : appliquer l’instruction de réécriture d’URL du blogue et bloquer les ports pour l’accès à distance de PowerShell.
* Traductions: Le Diligent