{"id":16505,"date":"2021-03-10T08:22:54","date_gmt":"2021-03-10T08:22:54","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16505"},"modified":"2021-03-10T08:22:54","modified_gmt":"2021-03-10T08:22:54","slug":"exchange-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/exchange-vulnerabilities\/16505\/","title":{"rendered":"Vuln\u00e9rabilit\u00e9s f\u00e9rocement exploit\u00e9es dans le serveur de MS Exchange"},"content":{"rendered":"<p>Microsoft a publi\u00e9 des correctifs hors bande pour plusieurs vuln\u00e9rabilit\u00e9s dans le serveur Exchange. Selon l\u2019entreprise, quatre de ces vuln\u00e9rabilit\u00e9s sont d\u00e9j\u00e0 utilis\u00e9es pour perp\u00e9trer des attaques cibl\u00e9es, c\u2019est pour cela qu\u2019il serait prudent <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">d\u2019installer les correctifs le plus rapidement possible<\/a>.<\/p>\n<h2>Quel est le risque ?<\/h2>\n<p>Les quatre vuln\u00e9rabilit\u00e9s les plus dangereuses d\u00e9j\u00e0 exploit\u00e9es permettent aux hackers de monter une attaque en trois \u00e9tapes. Tout d\u2019abord, ils acc\u00e8dent \u00e0 un serveur Exchange, puis ils cr\u00e9ent un \u00ab\u00a0Web shell\u00a0\u00bb (code encoquill\u00e9) pour y avoir acc\u00e8s \u00e0 distance, et enfin ils utilisent cet acc\u00e8s pour voler les donn\u00e9es du r\u00e9seau de la victime. Les vuln\u00e9rabilit\u00e9s sont les suivantes :<\/p>\n<ul>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26855<\/a>, qui peut \u00eatre utilis\u00e9e pour une \u00ab\u00a0<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/server-side-request-forgery-ssrf\/\" target=\"_blank\" rel=\"noopener\">server-side request forgery<\/a>\u00a0\u00bb (falsification de requ\u00eate c\u00f4t\u00e9 serveur), ce qui am\u00e8ne \u00e0 une ex\u00e9cution du code \u00e0 distance\u00a0;<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26857\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26857<\/a>, qui peut \u00eatre utilis\u00e9e pour une ex\u00e9cution de code arbitraire au nom du syst\u00e8me (bien que cette action exige les droits administrateur ou l\u2019exploitation de la vuln\u00e9rabilit\u00e9 pr\u00e9c\u00e9dente)\u00a0;<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26858\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26858<\/a> et <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27065\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-27065<\/a>, qui peuvent \u00eatre utilis\u00e9es par un hacker pour \u00e9craser les fichiers du serveur.<\/li>\n<\/ul>\n<p>Les cybercriminels utilisent les quatre vuln\u00e9rabilit\u00e9s ensemble. Cependant, selon Microsoft, au lieu de lancer une premi\u00e8re attaque, ils utilisent parfois des identifiants vol\u00e9s et se connectent sur le serveur sans avoir \u00e0 utiliser la vuln\u00e9rabilit\u00e9 CVE-2021-26855.<\/p>\n<p>De plus, le m\u00eame correctif corrige quelques vuln\u00e9rabilit\u00e9s mineures dans Exchange qui ne sont pas (\u00e0 notre connaissance) directement li\u00e9es aux attaques cibl\u00e9es actives.<\/p>\n<h2>Qui est en danger ?<\/h2>\n<p>La version Cloud d\u2019Exchange n\u2019est pas touch\u00e9e par ces vuln\u00e9rabilit\u00e9s\u00a0; elles ne posent probl\u00e8me qu\u2019aux serveurs d\u00e9ploy\u00e9s au sein de l\u2019infrastructure. Microsoft a publi\u00e9 des <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">mises \u00e0 jour<\/a> pour Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 et Microsoft Exchange Server 2019, ainsi qu\u2019une mise \u00e0 jour suppl\u00e9mentaire de \u00ab\u00a0D\u00e9fense en profondeur\u00a0\u00bb pour Microsoft Exchange Server 2010. Cependant, du fait de la gravit\u00e9 de l\u2019exploitation, Microsoft a par la suite ajout\u00e9 \u00a0<a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/march-2021-exchange-server-security-updates-for-older-cumulative\/ba-p\/2192020\" target=\"_blank\" rel=\"noopener nofollow\">des corrections pour les serveurs Exchange obsol\u00e8tes<\/a>.<\/p>\n<p>Selon des <a href=\"https:\/\/blogs.microsoft.com\/on-the-issues\/2021\/03\/02\/new-nation-state-cyberattacks\/\" target=\"_blank\" rel=\"noopener nofollow\">chercheurs<\/a> de Microsoft, ce sont les hackers du groupe Hafnium qui ont exploit\u00e9 les vuln\u00e9rabilit\u00e9s afin de voler des donn\u00e9es confidentielles. Parmi leurs cibles, on trouve des soci\u00e9t\u00e9s industrielles aux \u00c9tats-Unis, des chercheurs en maladies infectieuses, des cabinets d\u2019avocats, des organisations \u00e0 but non lucratif ainsi que des politologues. Le nombre exact de victimes reste inconnu, mais <a href=\"https:\/\/krebsonsecurity.com\/2021\/03\/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software\/\" target=\"_blank\" rel=\"noopener nofollow\">selon des sources de KrebsOnSecurity<\/a>, au moins 30\u00a0000 organisations aux \u00c9tats-Unis ont \u00e9t\u00e9 pirat\u00e9es par le biais de ces vuln\u00e9rabilit\u00e9s, dont des petites entreprises et des administrations publiques et locales. Nos experts ont d\u00e9voil\u00e9 que les entreprises am\u00e9ricaines ne sont pas les seules en danger puisque les cybercriminels du monde entier utilisent ces vuln\u00e9rabilit\u00e9s. Vous pouvez trouver plus d\u2019informations \u00e0 propos des lieux des attaques dans <a href=\"https:\/\/securelist.com\/zero-day-vulnerabilities-in-microsoft-exchange-server\/101096\/\" target=\"_blank\" rel=\"noopener\">la publication de Securelist<\/a>.<\/p>\n<h2>Comment \u00e9viter les attaques sur MS Exchange<\/h2>\n<ul>\n<li>Tout d\u2019abord, installez le <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">correctif<\/a> du serveur Microsoft Exchange pour prot\u00e9ger votre installation. Si votre soci\u00e9t\u00e9 utilise une version ant\u00e9rieure d\u2019Exchange et ne peut pas installer les mises \u00e0 jour, Microsoft recommande quelques <a href=\"https:\/\/msrc-blog.microsoft.com\/2021\/03\/05\/microsoft-exchange-server-vulnerabilities-mitigations-march-2021\/\" target=\"_blank\" rel=\"noopener nofollow\">solutions<\/a>.<\/li>\n<li>Selon Microsoft, refuser un acc\u00e8s non fiable au serveur Exchange sur le port 443 ou limiter les connexions depuis l\u2019ext\u00e9rieur du r\u00e9seau de l\u2019entreprise peuvent parer la premi\u00e8re phase de l\u2019attaque. Mais cela ne sera d\u2019aucune aide si les hackers sont d\u00e9j\u00e0 \u00e0 l\u2019int\u00e9rieur de l\u2019infrastructure ou s\u2019ils obtiennent les droits d\u2019administrateur pour lancer un fichier malveillant.<\/li>\n<li><a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/threat-management-defense-solution?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____tmd___\" target=\"_blank\" rel=\"noopener\">Un logiciel de type EDR<\/a> (si vous avez \u00e0 votre disposition des experts en interne) ou bien des sp\u00e9cialistes externes du service \u00ab\u00a0Managed Detection and Response\u00a0\u00bb (MDR) peuvent d\u00e9tecter un comportement malveillant.<\/li>\n<li>Gardez toujours \u00e0 l\u2019esprit que tout ordinateur connect\u00e9 \u00e0 internet, qu\u2019il s\u2019agisse d\u2019un serveur ou d\u2019un poste de travail, requiert l\u2019installation d\u2019une <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">solution de s\u00e9curit\u00e9 fiable sur les terminaux<\/a> pour \u00e9viter d\u2019\u00e9ventuelles exploitations et d\u00e9tecter en amont les comportements malveillants.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Des hackers exploitent quatre vuln\u00e9rabilit\u00e9s dangereuses dans Microsoft Exchange pour p\u00e9n\u00e9trer dans le r\u00e9seau de l\u2019entreprise.  <\/p>\n","protected":false},"author":2581,"featured_media":16506,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[4092,4091,31,322],"class_list":{"0":"post-16505","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-correctifs-de-securite","10":"tag-exchange","11":"tag-microsoft","12":"tag-vulnerabilites"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/exchange-vulnerabilities\/16505\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/exchange-vulnerabilities\/22592\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/exchange-vulnerabilities\/18085\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/exchange-vulnerabilities\/24317\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/exchange-vulnerabilities\/22385\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/exchange-vulnerabilities\/21250\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/exchange-vulnerabilities\/24847\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/exchange-vulnerabilities\/24085\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/exchange-vulnerabilities\/30228\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/exchange-vulnerabilities\/9406\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/exchange-vulnerabilities\/38964\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/exchange-vulnerabilities\/17104\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/exchange-vulnerabilities\/14553\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/exchange-vulnerabilities\/26321\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/exchange-vulnerabilities\/30177\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/exchange-vulnerabilities\/26768\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/exchange-vulnerabilities\/23631\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/exchange-vulnerabilities\/28972\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/exchange-vulnerabilities\/28781\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/vulnerabilites\/","name":"Vuln\u00e9rabilit\u00e9s"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/16505","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=16505"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/16505\/revisions"}],"predecessor-version":[{"id":16509,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/16505\/revisions\/16509"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/16506"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=16505"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=16505"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=16505"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}