Multiples vulnérabilités dans Microsoft Exchange Server – Update du 8 mars 2021

Exchange server mail

Microsoft a publié un code ( https://github.com/microsoft/CSS-Exchange/tree/main/Security ) permettant de vérifier la présence des indicateurs de compromission (IoCs) liés au mode opératoire Hafnium. Un détail de l’utilisation de ce code est disponible dans la section « scan Exchange log files » de l’article « HAFNIUM targeting Exchange Servers with 0-day exploits ».

A défaut d’appliquer le correctif immédiatement, des mesures de contournement provisoires ont été proposées par l’éditeur pour les versions 2013, 2016 et 2019 des serveurs Exchange. Cependant, contrairement aux correctifs, ces mesures ont un impact sur les fonctionnalités des serveurs Exchange et ne garantissent pas une protection complète contre ces vulnérabilités.

Article similaire: Microsoft alerte sur 4 failles zero-day exploitées sur Exchange

De plus, dans le cas où l’application du correctif n’est pas immédiate, le CISA recommande de restreindre les accès externes des plateformes Exchange exposées en appliquant les mesures suivantes :

  • Bloquer les connections non vérifiées qui peuvent accéder aux serveurs Exchange sur le port 443, ou mettre en place un VPN afin qu’il ne soit plus directement exposé sur Internet ;
  • Restreindre les accès externes :
    • À l’url OWA : /owa/ ;
    • À l’url Exchange Admin Center (EAC) aka Exchange Control Panel (ECP) : /ecp/

Microsoft met en avant la forte augmentation de l’exploitation de ces quatre vulnérabilités par des attaquants. On rappelle donc le motif urgent de la mise en place des correctifs de sécurité, ou au moins la restriction des accès à la plateforme ainsi que la mise en place des mesures de contournement le temps d’appliquer ces correctifs.