Avis de sécurité

Alertes de sécurité


Multiples vulnérabilités dans Microsoft Exchange (30 septembre 2022)

Publié le 30 septembre 2022 08:36

Risque(s)

  • Exécution de code arbitraire à distance
  • Injection de requêtes forgées côté serveur (Server-side request forgery)

Systèmes affectés

  • Microsoft Exchange Serveur 2013 toutes versions
  • Microsoft Exchange Serveur 2016 toutes versions
  • Microsoft Exchange Serveur 2019 toutes versions

Résumé

En date du 29 septembre 2022, Microsoft a indiqué l'existence de deux vulnérabilités, de type zéro-jour, au sein de Windows Exchange 2013, 2016 et 2019.

Ces vulnérabilités sont les suivantes :

  • CVE-2022-41040 : Vulnérabilité de type injection de requêtes forgées côté serveur (Server Side Request Forgery, SSRF) exploitable par un attaquant authentifié ;
  • CVE-2022-41082 : Vulnérabilité permettant à un attaquant authentifié d'exécuter du code arbitraire à distance.

Dans le cadre d'une attaque, la CVE-2022-41040 peut permettre à un attaquant d'exploiter à distance la CVE-2022-41082. Selon l'éditeur, ces deux vulnérabilités ne sont exploitables que si l'attaquant est déjà authentifié. Un correctif spécifique est en cours de développement par Microsoft.

Ces vulnérabilités doivent faire l'objet d'une prise en compte immédiate, car elles ont été utilisées dans le cadre d'attaques ciblées. Le CERT-FR n'a pour le moment pas connaissance des conditions ayant permis aux attaquants d'obtenir un accès authentifié sur les serveurs ciblés.

Cette alerte sera actualisée dès que possible.

Contournement provisoire

En attendant la publication des correctifs, le CERT-FR recommande d'appliquer immédiatement les mesures d'atténuation proposées par Microsoft [1].

Détection

Le billet de blogue de l'éditeur documente quelques éléments d'aide à la détection de ces vulnérabilités [1].

Documentation

LIENS ASSOCIES


Inscrivez-vous à la newsletter CSIRT pour recevoir périodiquement les publications

Contact

contact@csirt-universitaire.org
+221 78 601 64 64
BP: XXX - Sénégal