Les serveurs Exchange on premise frappés par un exploit zero-day

Actuellement exploitée, une faille zero-day affectant les versions sur site des serveurs Microsoft Exchange nécessite de prendre des mesures d'urgence.

Une faille zero-day récemment découverte dans Microsoft Exchange Server a poussé les experts à déclarer l'état d'urgence et à exhorter les responsables de la sécurité informatique à envisager l'abandon des solutions de messagerie on premise. « Comme elle est déjà exploitée dans la nature, il ne s’agit pas d’une situation où l’on peut se contenter d’un correctif la semaine prochaine ; c’est une urgence qui nécessite une atténuation immédiate », a averti Rob Enderle, directeur général d'Enderle Group. « C'est un rappel supplémentaire qu'il faut trouver un fournisseur de cloud de confiance pour la messagerie », a ajouté Johannes Ullrich, doyen de la recherche au SANS Institute. « Exchange sur site est en train de devenir un produit obsolète, et bien que certaines entreprises en aient besoin pour la messagerie interne et sortante, sa surface d'attaque doit être minimisée en réduisant son exposition à la messagerie externe. »

M. Ullrich commentait une alerte publiée cette semaine par Microsoft concernant une vulnérabilité de type cross-site scripting affectant Exchange Outlook Web Access (OWA), qui pourrait être exploitée simplement en envoyant un courriel spécialement conçu à un utilisateur. Si l'utilisateur ouvre le message dans Outlook Web Access et que certaines conditions d'interaction sont remplies, du code JavaScript arbitraire peut être exécuté dans le contexte du navigateur. Il est difficile d’éviter les problèmes de cross-site scripting dans les systèmes de messagerie web comme Outlook Web Access, a admis M. Ullrich. Un système de messagerie web doit intégrer les e-mails HTML reçus des utilisateurs dans le code HTML de l’application sans confondre les deux. Des techniques telles que les iFrames en sandbox peuvent aider, mais doivent être appliquées avec précaution.

Par ailleurs, a-t-il déclaré, les failles de type cross-site scripting dans les messageries web peuvent généralement être utilisées pour lire le contenu d’un e-mail, et dans certains cas même pour envoyer un courrier électronique. « Heureusement », a-t-il ajouté, « de nombreuses entreprises ont abandonné Exchange sur site et Outlook Web Access. » « Je suppose que c’est grave », a déclaré Kellman Meghu, directeur technique de DeepCove Cybersecurity, « mais l’exploitation d’un serveur Exchange sur site l’est généralement aussi. » Les versions d’Exchange Server 2016, 2019 et Server Subscription Edition (SE) sont concernées par cette vulnérabilité (CVE-2026-42897), quel que soit leur niveau de mise à jour. Le service cloud, Exchange Online, n’est pas concerné.

Une mesure d’atténuation et des problèmes

Microsoft travaille toujours sur un correctif de sécurité pour combler cette faille. En attendant, les administrateurs Exchange doivent savoir si le service EM d’Exchange est activé sur leurs serveurs. Il devrait l’être car depuis sa sortie en septembre 2021, il est activé par défaut. Si ce service a été désactivé pour une raison quelconque, il doit être réactivé immédiatement. Notez toutefois que le service EM ne pourra pas vérifier la présence de nouvelles mesures d’atténuation si le serveur exécute une version d’Exchange Server antérieure à mars 2023. Les utilisateurs qui ne peuvent pas utiliser le serveur EM, par exemple parce qu’ils sont déconnectés ou disposent d’environnements isolés, doivent alors télécharger la dernière version de l’outil de correction (EOMT) Exchange sur site et appliquer la mesure d'atténuation serveur par serveur, ou sur tous les serveurs à la fois en exécutant, avec des privilèges élevés, le script via Exchange Management Shell.

Cependant, les administrateurs doivent noter qu'il existe des problèmes connus une fois la mesure d'atténuation appliquée, que ce soit manuellement ou automatiquement via le service EM. La fonctionnalité d'impression du calendrier OWA peut ne pas fonctionner. Pour contourner ce problème, copiez les données ou faites une capture d'écran du calendrier que vous souhaitez imprimer, ou utilisez le client Outlook de bureau. Les images intégrées peuvent aussi ne pas s'afficher correctement dans le volet de lecture OWA du destinataire. Pour contourner ce problème, envoyez les images en pièces jointes ou utilisez le client Outlook de bureau. OWA light (URL OWA se terminant par /?layout=light) ne fonctionne pas correctement. Notez que cette fonctionnalité a été dépréciée il y a plusieurs années et n’est pas destinée à une utilisation régulière en production. Les administrateurs peuvent recevoir un message indiquant « Atténuation non valide pour cette version d’Exchange » dans les détails de l’atténuation. Ce problème est d’ordre cosmétique et l’atténuation s’applique correctement si le statut est « Appliqué ». L'éditeur étudie actuellement comment résoudre ce dysfonctionnement.

Des mises à jour de sécurité à venir

Un porte-parole de Microsoft a été interrogé sur la date de publication de la mise à jour de sécurité. Nous avons été renvoyés vers la déclaration de la société. Dans son avertissement, l'éditeur indique que les mises à jour de sécurité pour les versions concernées d’Exchange Server seront disponibles « à l’avenir ». Elles concerneront Exchange SE RTM, Exchange 2016 CU23, ainsi qu’Exchange Server 2019 CU14 et CU15. Les utilisateurs des anciennes versions CU sont invités à effectuer la mise à jour dès maintenant.Une mise à jour Exchange SE sera publiée sous forme de mise à jour de sécurité accessible au public. Les mises à jour Exchange 2016 et 2019 ne seront fournies qu’aux clients inscrits au programme ESU Exchange Server de la période 2. Les clients ESU de la période 1 uniquement ne recevront pas cette mise à jour, car ce programme a pris fin le mois dernier.

M. Enderle a déclaré que le fait que Microsoft ait publié un correctif provisoire qui désactive des fonctionnalités telles que l'impression du calendrier et les images intégrées est « un signe clair de leur désespoir à vouloir endiguer la situation. « Les responsables de la sécurité doivent abandonner l'approche attentiste et considérer cela comme un test décisif pour leur automatisation de la sécurité », a-t-il déclaré. « Si votre équipe a activé le service Exchange Emergency Mitigation (EM), vous devriez déjà être protégé, mais vous devez vérifier que la « Mitigation M2 » est bien active sur l’ensemble de votre parc. Si vous utilisez un environnement air-gappedou si le service EM est désactivé, vous êtes une proie facile jusqu’à ce que vous exécutiez manuellement le script EOMT. » Il s’agit là d’un autre « coup de pouce massif » de la part de Redmond pour inciter à abandonner la messagerie sur site, a ajouté M. Enderle. « Si vous n’envisagez pas déjà de vous défaire d’Exchange sur site, votre profil de risque ne fera que s’aggraver à mesure que ces vulnérabilités zero-day deviendront la nouvelle norme. Cela montre bien qu’Azure, et les services web en général, sont la direction vers laquelle l’industrie, et en particulier Microsoft, pousse les services informatiques à aller, qu’ils le veuillent ou non. »