Microsoft a diffusé début mars 2021 une liste de vulnérabilités critiques concernant ses serveurs Exchange OnPremise. Et notamment sur quatre failles Zero-day. Suite à la publication, Microsoft recense encore 82 000 serveurs vulnérables et de nombreux cas d’exploitation à des fins de diffusion de cryptomalwares.

Ces vulnérabilités sont référencées sous les CVE suivantes :

  • CVE-2021-26855,
  • CVE-2021-26857,
  • CVE-2021-26858,
  • CVE-2021-27065.

Leurs exploitations permettent à un attaquant d’accéder aux comptes emails et d’installer des programmes (malware, rootkit) sur le serveur.

 

Vecteur initial de l’attaque

La première vulnérabilité exploitée dans le cheminement de l’attaque est la CVE-2021-26855, qui décrit une vulnérabilité de « Server Side Request Forgery » (SSRF) et permet à l’attaquant d’envoyer une requête http forgée afin de s’authentifier sur le serveur Exchange en tant qu’administrateur. Après avoir exploité la 26855, les vulnérabilités CVE-2021-26858 et CVE-2021-27065 permettent d’écrire arbitrairement un fichier sur le serveur Exchange. Ce fichier pourra être n’importe quel outil utilisable par l’attaquant, ou une charge virale de type cryptomalware par exemple. Une fois les fichiers sur le serveur, la CVE-2021-26857 est exploitée à travers le service « Unified Messaging ». Une attaque de désérialisation des données permet de transmettre des commandes au programme et ainsi, par exemple, d’exécuter les fichiers déposés. C’est donc l’exploitation combinée de ces quatre vulnérabilités qui permet à un attaquant de prendre la main le serveur Exchange vulnérable.

Les versions d’exchange concernées sont :

  • Exchange 2013, 2016, 2019
  • Exchange 2010 uniquement pour la CVE-2021-26857

Les versions antérieures ne semblent pas impactées, de même que Exchange Online n’est pas touché.

 

Moyens de protection fournis par Stormshield

Stormshield permet une protection renforcée de l’infrastructure grâce à ses solutions Stormshield Network Security (SNS) et Stormshield Endpoint Security (SES). La première solution, SNS, pourra intervenir sur le flux entre l’attaquant et le serveur, tandis que la deuxième, SES, interviendra directement sur le serveur sur lequel elle est installée.

Stormshield Network Security (SNS)

Cloisonnement

L’utilisation d’un firewall de protection frontal au serveur exchange, avec le filtrage des ports, permettra de limiter l’exploitabilité de la vulnérabilité. Pour rappel, les ports à autoriser sont : 443, 993, 587. Le serveur exchange doit par ailleurs être isolé du LAN par des règles de filtrage, limitant ainsi la diffusion possible d’une attaque à l’ensemble du réseau.

Signature de protection

Stormshield a développé la signature http:client:header:cookie.31 spécifique permettant de détecter l’exploitation de la vulnérabilité CVE-2021-26855 et ainsi, de bloquer le vecteur initial de l’attaque.

 

Stormshield Endpoint Security (SES)

Analyse comportementale

L’utilisation d’une solution SES permet de contrôler en profondeur le comportement d’un OS. Dans le cas présent, SES permet de contrôler les opérations anormales des composants des serveurs Web et Exchange. En particulier, SES peut détecter l'écriture de fichiers depuis IIS et Exchange en adaptant le niveau de réponse en fonction du type de fichier.

Si la première barrière est franchie, SES peut également détecter et bloquer l'exécution de commandes depuis un webshell préalablement installé par un acteur malveillant.

Les règles applicatives des produits SES permettent également de bloquer toute écriture ou exécution de programmes malveillants depuis les composants des serveurs Web et Exchange. Il est ainsi possible de bloquer des outils offensifs tels que procdump ou mimikatz.

 

Autres recommandations

Il est bien évidemment primordial de mettre à jour les serveurs Exchange avec les patchs fournis par Microsoft : techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901

De plus, il est nécessaire de rechercher toute trace de compromission sur les serveurs Exchange. Pour cela, Microsoft fournit des IoC, ainsi qu’un outil spécifique : msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Notre équipe de Threat Intelligence remplit deux missions principales : étudier les menaces cyber pour les comprendre et améliorer en continu les protections des produits de Stormshield. Le tout, dans l’optique de contribuer à l’effort de la communauté de la cybersécurité pour faire face aux menaces cyber.
À propos de l'auteur
mm
Sébastien Viou Directeur Cybersécurité Produits & Cyber-Évangeliste, Stormshield

Adepte des sports de combats (ju-jitsu, kick-boxing, hockey sur glace), Sébastien se passionne également pour la mécanique. La vraie, celle où on démonte et remonte toutes les pièces jusqu'à en comprendre tous les mécanismes. Un parallèle évident avec ses missions chez Stormshield, où il est en charge d'apporter un éclairage sur les évolutions, les innovations et les tendances sur les cyber-menaces du moment.