Vulnérabilité Exchange 2010 et versions supérieures

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Avatar du membre
charles
Administrateur du site
Messages : 3851
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Vulnérabilité Exchange 2010 et versions supérieures

Message par charles » 30 janv. 2019 23:05

Remonté par Cédric Cartau dans son dernier article sur DSIH, une inquiétante vulnérabilité sur Exchange Server 2013 2010 et versions supérieures a été révélée récemment. Un POC d'exploitation de la vulnérabilité est déjà disponible sur Github.
Cédric Cartau a écrit :Une des ingénieures de mon CHU a remonté l’information suivante : le webzine Zdnet mentionne[1] un zero-day particulièrement dangereux sur Exchange.

Dans certaines conditions, un attaquant peut passer par l’Active Sync (ouvert à peu près partout) pour réaliser une élévation de privilèges sur le serveur de messagerie interne de l’établissement, voire devenir admin de l’AD.

Microsoft n’a pas encore publié de patch à l’heure d’écriture de ces lignes, mais fournit un mode opératoire permettant de se protéger à minima contre l’attaque. Le hic c’est que l’on est sur des manipulations qui, en toute logique, doivent passer par des tests : modifications de paramètres internes, de la base de registre, etc. Sinon on peut aussi couper l’ActiveSync pour quelques jours, mais là c’est un problème utilisateur.

Dans l’intervalle, si le service EWS n’est pas activé le risque semble moindre, mais la vigilance est de mise.
Le KB CERT a également publié un avis sur le sujet et émet les préconisations suivantes :
KB CERT a écrit :Disable EWS push/pull subscriptions

If you have an exchange server that does not leverage EWS push/pull subscriptions, you can block the PushSubscriptionRequest API call that triggers this attack. In an Exchange Management Shell window, execute the following commands:

New-ThrottlingPolicy -Name NoEWSSubscription -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0
Restart-WebAppPool -Name MSExchangeServicesAppPool


Remove privileges that Exchange has on the domain object

Please note that the following workaround was not developed by CERT and is not supported by Microsoft. Please test any workarounds in your environment to ensure that they work properly.

https://github.com/gdedrouas/Exchange-A ... ctDACL.ps1 is a PowerShell script that can be executed on either the Exchange Server or Domain Controller system. By default this script will check for vulnerable access control entries in the current active directory. When executed with Domain Admin privileges and the -Fix flag, this script will remove the ability for Exchange to write to the domain object.

Note that if you encounter an error about Get-ADDomainController not being recognized, you will need to install and import the ActiveDirectory PowerShell module, and then finally run Fix-DomainObjectDACL.ps1 :

Import-Module ServerManager
Add-WindowsFeature RSAT-AD-PowerShell
Import-Module ActiveDirectory
.\Fix-DomainObjectDACL.ps1


If the script reports that faulty ACE were found, run:

.\Fix-DomainObjectDACL.ps1 -Fix


PowerShell may be configured to block the execution of user-provided .ps1 files. If this is the case, first find your current PowerShell execution policy:

Get-ExecutionPolicy

Temporarily allow the execution of the Fix-DomainObjectDACL.ps1 script by running:

Set-ExecutionPolicy unrestricted

Once you are finished running the Fix-DomainObjectDACL.ps1script, set the policy back to the original value as reported by Get-ExecutionPolicy:

Set-ExecutionPolicy [POLICY]
https://www.kb.cert.org/vuls/id/465632/

benoit.g
Messages : 49
Enregistré le : 05 sept. 2017 16:02
Etablissement : CHS de l'Yonne
Fonction : Responsable SI
DPO / DPD : Non

Re: Vulnérabilité Exchange 2013 et versions supérieures

Message par benoit.g » 31 janv. 2019 15:16

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Avatar du membre
charles
Administrateur du site
Messages : 3851
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Vulnérabilité Exchange 2010 et versions supérieures

Message par charles » 06 févr. 2019 08:35

Le CERT-FR a ouvert une alerte sur le sujet indiquant qu'Exchange 2010 était également touché, ce que confirme une publication de Microsoft du 05/02/2019.

Microsoft indique qu'un correctif est en préparation, sera-t-il dispo pour le patch tuesday de mardi prochain ?!? En attendant Microsoft confirme la solution de contournement consistant à rendre inopérant le service d'envoi de notifications EWS.

Alerte du CERT-FR : https://www.cert.ssi.gouv.fr/alerte/CER ... 9-ALE-002/
Bulletin Microsoft : https://portal.msrc.microsoft.com/en-US ... /ADV190007

skoizer
Messages : 199
Enregistré le : 24 avr. 2015 11:41
Etablissement : ch villefranche de rouergue
Fonction : Technicien SI
DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-villefranche-rouergue.fr/
Contact :

Re: Vulnérabilité Exchange 2010 et versions supérieures

Message par skoizer » 06 févr. 2019 09:55

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Avatar du membre
charles
Administrateur du site
Messages : 3851
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Vulnérabilité Exchange 2010 et versions supérieures

Message par charles » 06 févr. 2019 13:26

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Vous n’avez pas les permissions nécessaires pour voir les fichiers joints à ce message.

skoizer
Messages : 199
Enregistré le : 24 avr. 2015 11:41
Etablissement : ch villefranche de rouergue
Fonction : Technicien SI
DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-villefranche-rouergue.fr/
Contact :

Re: Vulnérabilité Exchange 2010 et versions supérieures

Message par skoizer » 07 févr. 2019 11:54

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Avatar du membre
charles
Administrateur du site
Messages : 3851
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Vulnérabilité Exchange 2010 et versions supérieures

Message par charles » 13 févr. 2019 09:24

Cette vulnérabilité a été corrigée dans le patch tuesday du 12/02/2019 :

viewtopic.php?f=78&t=742&p=4447#p4447

skoizer
Messages : 199
Enregistré le : 24 avr. 2015 11:41
Etablissement : ch villefranche de rouergue
Fonction : Technicien SI
DPO / DPD : Non
Site Internet de l'établissement : http://www.ch-villefranche-rouergue.fr/
Contact :

Re: Vulnérabilité Exchange 2010 et versions supérieures

Message par skoizer » 20 févr. 2019 12:18

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Avatar du membre
charles
Administrateur du site
Messages : 3851
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Vulnérabilité Exchange 2010 et versions supérieures

Message par charles » 25 févr. 2019 15:06

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

benoit.g
Messages : 49
Enregistré le : 05 sept. 2017 16:02
Etablissement : CHS de l'Yonne
Fonction : Responsable SI
DPO / DPD : Non

Re: Vulnérabilité Exchange 2010 et versions supérieures

Message par benoit.g » 25 févr. 2019 16:38

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »