Page 1 sur 2

Vulnérabilité Exchange 2010 et versions supérieures

Posté : 30 janv. 2019 23:05
par charles
Remonté par Cédric Cartau dans son dernier article sur DSIH, une inquiétante vulnérabilité sur Exchange Server 2013 2010 et versions supérieures a été révélée récemment. Un POC d'exploitation de la vulnérabilité est déjà disponible sur Github.
Cédric Cartau a écrit :Une des ingénieures de mon CHU a remonté l’information suivante : le webzine Zdnet mentionne[1] un zero-day particulièrement dangereux sur Exchange.

Dans certaines conditions, un attaquant peut passer par l’Active Sync (ouvert à peu près partout) pour réaliser une élévation de privilèges sur le serveur de messagerie interne de l’établissement, voire devenir admin de l’AD.

Microsoft n’a pas encore publié de patch à l’heure d’écriture de ces lignes, mais fournit un mode opératoire permettant de se protéger à minima contre l’attaque. Le hic c’est que l’on est sur des manipulations qui, en toute logique, doivent passer par des tests : modifications de paramètres internes, de la base de registre, etc. Sinon on peut aussi couper l’ActiveSync pour quelques jours, mais là c’est un problème utilisateur.

Dans l’intervalle, si le service EWS n’est pas activé le risque semble moindre, mais la vigilance est de mise.
Le KB CERT a également publié un avis sur le sujet et émet les préconisations suivantes :
KB CERT a écrit :Disable EWS push/pull subscriptions

If you have an exchange server that does not leverage EWS push/pull subscriptions, you can block the PushSubscriptionRequest API call that triggers this attack. In an Exchange Management Shell window, execute the following commands:

New-ThrottlingPolicy -Name NoEWSSubscription -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0
Restart-WebAppPool -Name MSExchangeServicesAppPool


Remove privileges that Exchange has on the domain object

Please note that the following workaround was not developed by CERT and is not supported by Microsoft. Please test any workarounds in your environment to ensure that they work properly.

https://github.com/gdedrouas/Exchange-A ... ctDACL.ps1 is a PowerShell script that can be executed on either the Exchange Server or Domain Controller system. By default this script will check for vulnerable access control entries in the current active directory. When executed with Domain Admin privileges and the -Fix flag, this script will remove the ability for Exchange to write to the domain object.

Note that if you encounter an error about Get-ADDomainController not being recognized, you will need to install and import the ActiveDirectory PowerShell module, and then finally run Fix-DomainObjectDACL.ps1 :

Import-Module ServerManager
Add-WindowsFeature RSAT-AD-PowerShell
Import-Module ActiveDirectory
.\Fix-DomainObjectDACL.ps1


If the script reports that faulty ACE were found, run:

.\Fix-DomainObjectDACL.ps1 -Fix


PowerShell may be configured to block the execution of user-provided .ps1 files. If this is the case, first find your current PowerShell execution policy:

Get-ExecutionPolicy

Temporarily allow the execution of the Fix-DomainObjectDACL.ps1 script by running:

Set-ExecutionPolicy unrestricted

Once you are finished running the Fix-DomainObjectDACL.ps1script, set the policy back to the original value as reported by Get-ExecutionPolicy:

Set-ExecutionPolicy [POLICY]
https://www.kb.cert.org/vuls/id/465632/

Re: Vulnérabilité Exchange 2013 et versions supérieures

Posté : 31 janv. 2019 15:16
par benoit.g
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Re: Vulnérabilité Exchange 2010 et versions supérieures

Posté : 06 févr. 2019 08:35
par charles
Le CERT-FR a ouvert une alerte sur le sujet indiquant qu'Exchange 2010 était également touché, ce que confirme une publication de Microsoft du 05/02/2019.

Microsoft indique qu'un correctif est en préparation, sera-t-il dispo pour le patch tuesday de mardi prochain ?!? En attendant Microsoft confirme la solution de contournement consistant à rendre inopérant le service d'envoi de notifications EWS.

Alerte du CERT-FR : https://www.cert.ssi.gouv.fr/alerte/CER ... 9-ALE-002/
Bulletin Microsoft : https://portal.msrc.microsoft.com/en-US ... /ADV190007

Re: Vulnérabilité Exchange 2010 et versions supérieures

Posté : 06 févr. 2019 09:55
par skoizer
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Re: Vulnérabilité Exchange 2010 et versions supérieures

Posté : 06 févr. 2019 13:26
par charles
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Re: Vulnérabilité Exchange 2010 et versions supérieures

Posté : 07 févr. 2019 11:54
par skoizer
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Re: Vulnérabilité Exchange 2010 et versions supérieures

Posté : 13 févr. 2019 09:24
par charles
Cette vulnérabilité a été corrigée dans le patch tuesday du 12/02/2019 :

viewtopic.php?f=78&t=742&p=4447#p4447

Re: Vulnérabilité Exchange 2010 et versions supérieures

Posté : 20 févr. 2019 12:18
par skoizer
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Re: Vulnérabilité Exchange 2010 et versions supérieures

Posté : 25 févr. 2019 15:06
par charles
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

Re: Vulnérabilité Exchange 2010 et versions supérieures

Posté : 25 févr. 2019 16:38
par benoit.g
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.