Risque(s)
- Exécution de code arbitraire à distance
- Injection de requêtes forgées côté serveur (Server-side request forgery)
Systèmes affectés
- Microsoft Exchange Serveur 2013 toutes versions
- Microsoft Exchange Serveur 2016 toutes versions
- Microsoft Exchange Serveur 2019 toutes versions
Résumé
En date du 29 septembre 2022, Microsoft a indiqué l'existence de deux vulnérabilités, de type zéro-jour, au sein de Windows Exchange 2013, 2016 et 2019.
Ces vulnérabilités sont les suivantes :
- CVE-2022-41040 : Vulnérabilité de type injection de requêtes forgées côté serveur (Server Side Request Forgery, SSRF) exploitable par un attaquant authentifié ;
- CVE-2022-41082 : Vulnérabilité permettant à un attaquant authentifié d'exécuter du code arbitraire à distance.
Dans le cadre d'une attaque, la CVE-2022-41040 peut permettre à un attaquant d'exploiter à distance la CVE-2022-41082. Selon l'éditeur, ces deux vulnérabilités ne sont exploitables que si l'attaquant est déjà authentifié. Un correctif spécifique est en cours de développement par Microsoft.
Ces vulnérabilités doivent faire l'objet d'une prise en compte immédiate, car elles ont été utilisées dans le cadre d'attaques ciblées. Le CERT-FR n'a pour le moment pas connaissance des conditions ayant permis aux attaquants d'obtenir un accès authentifié sur les serveurs ciblés.
Cette alerte sera actualisée dès que possible.
Contournement provisoire
En attendant la publication des correctifs, le CERT-FR recommande d'appliquer immédiatement les mesures d'atténuation proposées par Microsoft [1].
Détection
Le billet de blogue de l'éditeur documente quelques éléments d'aide à la détection de ces vulnérabilités [1].
Documentation