Chat échaudé craint l'eau froide. Le début du mois de mars 2021 avait été chaud pour les entreprises avec plus de 400 000 serveurs Exchange rendus vulnérables à cause des failles ProxyLogon exploitées par le cybergang chinois Hafnium. Sans compter en septembre denier les cybercriminels derrière le ransomware Conti ayant exploité à leur tour ces failles pour mettre sour leur coupe des serveurs Exchange non patchés.

Ce mardi, Microsoft a annoncé lors de sa salve de correctifs mensuels du Patch Tuesday avoir comblé une vulnérabilité identifiée en tant que CVE-2022-23277 exposant une nouvelle fois les entreprises à un exploit zero day. Ce dernier conduit à l'exécution de code malveillant à distance avec possibilité d'élévation de privilèges pour compromettre les messageries et voler des données et informations contenues dans des e-mails. Cette faille, classée critique et d'un score CVSS 3.1 de 8.8/7.7, affecte les serveurs Exchange 2013, 2016 et 2019, et doit donc être comblée dès que possible.

Un risque d'exploit malgré l'exigence d'authentification

« Elle est également répertoriée comme étant de faible complexité donc cela ne me surprendrait pas de voir ce bogue exploité dans la nature bientôt malgré l'exigence d'authentification », a prévenu le chercheur en sécurité Dustin Childs de la Zero Day Initiative. Dans son alerte, Microsoft a confirmé qu'un attaquant authentifié pourrait cibler les comptes du serveur lors d'une exécution de code arbitraire ou à distance. En tant qu'utilisateur authentifié, l'attaquant pourrait tenter de déclencher un code malveillant dans le contexte du compte du serveur via un appel réseau.

Dans la liste de patchs (71) livrés ce mois-ci par Microsoft, deux autres failles critiques ont été corrigées pour éviter l'exécution de code malveillant à distance (RCE). A savoir les CVE-2022-2206 et CVE-2022-24501 respectivement relatives aux codecs vidéo HEVC et VP9. Parmi les 68 autres failles comblées, plusieurs nécessitent une attention particulière. En particulier la CVE-2022-24508 touchant le protocole de partage de fichiers en réseau SMBv3 permettant - encore - d'exécuter du code malveillant distant sur des systèmes tournant a minima sur Windows 10 (version 2004). « L'authentification est requise ici, mais comme cela affectait à la fois les clients et les serveurs, un attaquant pourrait l'utiliser pour se déplacer latéralement au sein d'un réseau », a expliqué Dustin Childs. A noter que ce dernier estime cette faille comme étant critique, contrairement à Microsoft, mais enjoint les entreprises à agir comme si c'était le cas. A savoir corriger dès que possible.