Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Exchange de plus en plus ciblé : les serveurs de messagerie restent une porte d’entrée privilégiée pour les attaquants

30 juin 2020 - 11:15,
Tribune - Charles Blanc-Rolin
Les serveurs de messagerie sont toujours une cible de choix des attaquants. Déni de service, accès compromis au Webmail, diffusion de courriels malveillants, mais aussi et surtout, porte d’entrée dans le système d’information.

Microsoft a alerté les administrateurs de serveurs Exchange dans un billet de blog du 24 juin [1], la vulnérabilité CVE-2020-0688 [2] corrigée dans le « patch tuesday » de février serait activement exploitée, même si la note de référence sur la vulnérabilité que l’on peut lire sur le site de Microsoft nous dit l’inverse. Elle permet tout simplement une exécution de code arbitraire à distance avec des privilèges système sur les serveurs Exchange dont le webmail OWA est accessible. Oups ! Gare à vos Exchange non patchés !

L’équipe ZDI (Trend Micro) à l’origine de la découverte de cette vulnérabilité publiait deux semaines après la sortie du « patch tuesday » de février quelques explications [3], ainsi qu’une vidéo [4] de démonstration de l’exploitation de cette vulnérabilité. Autant dire que ces explications en ont inspirés quelques-uns. Les premiers POC s’appuyant également sur le générateur de payload Ysoserial.Net [5] et permettant d’exploiter la vulnérabilité ont rapidement fait leur apparition sur le Web. Ah mince, vous n’avez pas patché ?

Je crois qu’il est grand temps !

Bon d’accord, il faut disposer du mot de passe d’un utilisateur pour pouvoir exploiter la vulnérabilité. Mais quel RSSI peut garantir que tous ses utilisateurs (lui y compris) ont des mots de passe fort, ne se feront jamais berner par un message de phishing ou ne cliqueront jamais où il ne faut pas ?

Comme le rappelle Kevin Beaumont, de nombreux serveurs toujours en version 2007 (plus supportée par Microsoft) pour laquelle aucun correctif n’est disponible, sont exposés sur Internet.

 

Si vous êtes dans ce cas, autant dire que le chantier est de taille, mais il serait bien de se dépêcher ! Et si vous avez toujours des serveurs en version 2010, il serait temps de songer à une migration rapidement.

Pour rappel, toutes les versions d’Exchange supportées sont vulnérables à la CVE-2020-0688.

Microsoft a donc publié des correctifs pour les versions suivantes :

Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 14
Microsoft Exchange Server 2016 Cumulative Update 15
Microsoft Exchange Server 2019 Cumulative Update 3
Microsoft Exchange Server 2019 Cumulative Update 4

Le numéro de CU (Cumulative Update) a son importance, car les versions antérieures à celles annoncées ne reçoivent plus les mises à jour de sécurité. Amis DSI, RSI, RSSI, si vous n’avez jamais patché un serveur Exchange et que vous n’avez pas abordé ce sujet avec vos admins, il y a quelques petites subtilités à connaître :

1. Les CU ne sont pas poussées par Windows Update
2. Installer une nouvelle CU = réinstaller Exchange (prévoir 2 heures de coupure minimum par serveur)
3. Pour les versions « modernes » (2016 / 2019), seules les deux dernières CU sont aptes à recevoir les correctifs de sécurité
4. Les CU ne sont bien évidemment jamais publiées en parallèle du circuit classique des mises à jour « patch tuesday ». Et oui, sinon, ce n’est pas marrant.
5. Savoir quelle version de CU est déployée sur un serveur n’est pas si évident… Ok une simple commande Powershell retourne le numéro de version. Oui, mais voilà, le numéro de version n’indique pas le numéro de CU. Là encore, pourquoi faire simple quand on peut faire compliqué.Par exemple, un serveur Exchange 2016 CU 17 retourne le numéro de version suivant : 15.1.2044.4. Je vous avais bien dit que nous allions nous amuser… Pour avoir la table de correspondance, rendez-vous sur le site de Microsoft [6].

Pour vous donner une idée de l’ampleur des dégâts (ou pas), vous pouvez utiliser le scanner proposé par Antoine aka « onSec-fr » [7], qui vous permettra de savoir si vos serveurs Exchange sont vulnérables à la CVE-2020-0688 et de connaître votre numéro de version au passage.

Après avoir patché, et uniquement après (cela vous évitera de faire une syncope), allez lire le billet de Microsoft [1]. Vous pourrez voir les différentes phases d’une attaque soigneusement orchestrée, après que les attaquants soient rentrés par la porte gentiment laissée ouverte : reconnaissance des lieux, scanne des machines vulnérables, identification des comptes admins, récupération des informations de connexion des utilisateurs (hashes NTLM) à coup de ProcDump et Mimikatz, exploitation de DCShadow [8], path the hash, création d’un compte admin pour garder la main sur l’Active Directory, déplacement latéral en utilisant WMI, j’en passe et des meilleurs…

Vous aviez quelque chose de prévu pour vos vacances ?


[1] https://www.microsoft.com/security/blog/2020/06/24/defending-exchange-servers-under-attack/

[2] https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0688

[3] https://www.thezdi.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

[4] https://youtu.be/7d_HoQ0LVy8

[5] https://github.com/pwntester/ysoserial.net

[6] https://docs.microsoft.com/fr-fr/Exchange/new-features/build-numbers-and-release-dates

[7] https://github.com/onSec-fr/CVE-2020-0688-Scanner

[8] https://www.dcshadow.com/ 

 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration La cyber et les probabilités paresseuses

La cyber et les probabilités paresseuses

26 mai 2025 - 21:29,

Tribune

-
Cédric Cartau

Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.