Bulletins

Microsoft : 4 failles zero-day exploitées sur Exchange

bs1.jpg

Un correctif a été publié par Microsoft destiné aux serveurs Exchange. Ce patch a vu le jour à cause de quatre failles zero-day qui auraient affecté le système et qui nécessitent une correction, car elles peuvent être activement exploitées par des pirates informatiques.

Il existe les correctifs programmés pour le Patch Tuesday, et il existe d’autres patchs. Ces derniers sont souvent les plus inquiétants, comme c’est le cas du nouveau correctif publié par Microsoft destiné aux serveurs Exchange (2013, 2016 et 2019, Exchange 2010 n’étant pas directement affecté mais nécessite tout de même une correction). Les références de ces 4 correctifs sont les suivantes : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065.

Ces diverses vulnérabilités permettent d’élever les privilèges, de contourner des outils d’authentification et de contrôler à distance un serveur Exchange attaqué. Les pirates informatiques doivent disposer de la capacité d’établir une connexion avec le serveur ciblé sur le port 443 afin de réaliser l’attaque, d’après Microsoft. Il s’agirait de l’étape d’accès initial, et les autres bugs de sécurité restent exploitables une fois que les acteurs malveillants ont accédé au serveur. Les failles peuvent être considérées comme mineures si elles sont prises séparément, mais Microsoft a expliqué qu’elles sont utilisés ensemble par un groupe de pirates qui les emploient pour voler des données.

Pour les utilisateurs qui ne peuvent pas appliquer rapidement le correctif, Microsoft recommande la prise de mesures d’atténuation : limiter les connexions non authentifiées sur le port 443 ou l’utilisation d’un VPN pour limiter l’accès au serveur Exchange depuis l’extérieur, mais Microsoft précise que ces mesures ne protègent pas entièrement des effets de ces failles, pouvant être exploitées via un autre vecteur.