Publicité en cours de chargement...

Publicité en cours de chargement...

Exchange de plus en plus ciblé : les serveurs de messagerie restent une porte d’entrée privilégiée pour les attaquants

30 juin 2020 - 11:15,
Tribune - Charles Blanc-Rolin
Les serveurs de messagerie sont toujours une cible de choix des attaquants. Déni de service, accès compromis au Webmail, diffusion de courriels malveillants, mais aussi et surtout, porte d’entrée dans le système d’information.

Microsoft a alerté les administrateurs de serveurs Exchange dans un billet de blog du 24 juin [1], la vulnérabilité CVE-2020-0688 [2] corrigée dans le « patch tuesday » de février serait activement exploitée, même si la note de référence sur la vulnérabilité que l’on peut lire sur le site de Microsoft nous dit l’inverse. Elle permet tout simplement une exécution de code arbitraire à distance avec des privilèges système sur les serveurs Exchange dont le webmail OWA est accessible. Oups ! Gare à vos Exchange non patchés !

L’équipe ZDI (Trend Micro) à l’origine de la découverte de cette vulnérabilité publiait deux semaines après la sortie du « patch tuesday » de février quelques explications [3], ainsi qu’une vidéo [4] de démonstration de l’exploitation de cette vulnérabilité. Autant dire que ces explications en ont inspirés quelques-uns. Les premiers POC s’appuyant également sur le générateur de payload Ysoserial.Net [5] et permettant d’exploiter la vulnérabilité ont rapidement fait leur apparition sur le Web. Ah mince, vous n’avez pas patché ?

Je crois qu’il est grand temps !

Bon d’accord, il faut disposer du mot de passe d’un utilisateur pour pouvoir exploiter la vulnérabilité. Mais quel RSSI peut garantir que tous ses utilisateurs (lui y compris) ont des mots de passe fort, ne se feront jamais berner par un message de phishing ou ne cliqueront jamais où il ne faut pas ?

Comme le rappelle Kevin Beaumont, de nombreux serveurs toujours en version 2007 (plus supportée par Microsoft) pour laquelle aucun correctif n’est disponible, sont exposés sur Internet.

 

Si vous êtes dans ce cas, autant dire que le chantier est de taille, mais il serait bien de se dépêcher ! Et si vous avez toujours des serveurs en version 2010, il serait temps de songer à une migration rapidement.

Pour rappel, toutes les versions d’Exchange supportées sont vulnérables à la CVE-2020-0688.

Microsoft a donc publié des correctifs pour les versions suivantes :

Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2019 Cumulative Update 3
Microsoft Exchange Server 2019 Cumulative Update 4

Le numéro de CU (Cumulative Update) a son importance, car les versions antérieures à celles annoncées ne reçoivent plus les mises à jour de sécurité. Amis DSI, RSI, RSSI, si vous n’avez jamais patché un serveur Exchange et que vous n’avez pas abordé ce sujet avec vos admins, il y a quelques petites subtilités à connaître :

1. Les CU ne sont pas poussées par Windows Update
2. Installer une nouvelle CU = réinstaller Exchange (prévoir 2 heures de coupure minimum par serveur)
3. Pour les versions « modernes » (2016 / 2019), seules les deux dernières CU sont aptes à recevoir les correctifs de sécurité
4. Les CU ne sont bien évidemment jamais publiées en parallèle du circuit classique des mises à jour « patch tuesday ». Et oui, sinon, ce n’est pas marrant.
5. Savoir quelle version de CU est déployée sur un serveur n’est pas si évident… Ok une simple commande Powershell retourne le numéro de version. Oui, mais voilà, le numéro de version n’indique pas le numéro de CU. Là encore, pourquoi faire simple quand on peut faire compliqué.Par exemple, un serveur Exchange 2016 CU 17 retourne le numéro de version suivant : 15.1.2044.4. Je vous avais bien dit que nous allions nous amuser… Pour avoir la table de correspondance, rendez-vous sur le site de Microsoft [6].

Pour vous donner une idée de l’ampleur des dégâts (ou pas), vous pouvez utiliser le scanner proposé par Antoine aka « onSec-fr » [7], qui vous permettra de savoir si vos serveurs Exchange sont vulnérables à la CVE-2020-0688 et de connaître votre numéro de version au passage.

Après avoir patché, et uniquement après (cela vous évitera de faire une syncope), allez lire le billet de Microsoft [1]. Vous pourrez voir les différentes phases d’une attaque soigneusement orchestrée, après que les attaquants soient rentrés par la porte gentiment laissée ouverte : reconnaissance des lieux, scanne des machines vulnérables, identification des comptes admins, récupération des informations de connexion des utilisateurs (hashes NTLM) à coup de ProcDump et Mimikatz, exploitation de DCShadow [8], path the hash, création d’un compte admin pour garder la main sur l’Active Directory, déplacement latéral en utilisant WMI, j’en passe et des meilleurs…

Vous aviez quelque chose de prévu pour vos vacances ?


[1] https://www.microsoft.com/security/blog/2020/06/24/defending-exchange-servers-under-attack/

[2] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0688

[3] https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

[4] https://youtu.be/7d_HoQ0LVy8

[5] https://github.com/pwntester/ysoserial.net

[6] https://docs.microsoft.com/fr-fr/Exchange/new-features/build-numbers-and-release-dates

[7] https://github.com/onSec-fr/CVE-2020-0688-Scanner

[8] https://www.dcshadow.com/ 

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Protéger la totalité du parcours du patient pour préserver la continuité des soins : un impératif face aux cybermenaces

Protéger la totalité du parcours du patient pour préserver la continuité des soins : un impératif face aux cybermenaces

23 juin 2025 - 15:53,

Tribune

-
Moh Waqas

Les hôpitaux sont aujourd’hui les cibles privilégiées des cyberattaques, menaçant la confidentialité des données, la disponibilité des services et, surtout, la sécurité des patients. Dans le contexte géopolitique actuel, marqué par la cyberguerre et l’escalade des tensions internationales, il est ur...

Illustration CareLib : une innovation co-construite au service du soin à l’EHPAD Les Charmilles

CareLib : une innovation co-construite au service du soin à l’EHPAD Les Charmilles

23 juin 2025 - 10:49,

Actualité

- Maellie Vezien, DSIH

En EHPAD, un résident chute en moyenne 1,7 fois par an, contre 0,65 à domicile. Un chiffre qui en dit long sur l’urgence de pouvoir détecter rapidement ces incidents et offrir un moyen simple et fiable d’appeler un soignant, peu importe l’endroit où se trouve le résident.

Illustration IA et santé : cap sur une cybersécurité consolidée et proactive

IA et santé : cap sur une cybersécurité consolidée et proactive

18 juin 2025 - 10:57,

Communiqué

- Trend Micro

Le secteur de la santé, porté par la vague de l’IA, veut gagner en flexibilité, innover dans la prise en charge des patients et maîtriser les coûts. Des promesses qui ne se concrétiseront que dans un cadre de sécurité robuste. En effet, l’IA se révèle à double tranchant. Elle renforce les lignes de ...

Illustration Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

16 juin 2025 - 22:18,

Actualité

- Damien Dubois, DSIH

Le 12 juin, la Commission européenne a annoncé un investissement de 145,5 millions d’euros pour soutenir la cybersécurité des PME, administrations et établissements de santé.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.