Microsoft Exchange est impacté par quatre vulnérabilités Zero Day que les attaquants peuvent exploiter à distance pour exécuter du code arbitraire ou divulguer des informations sensibles sur les installations affectées.
Les vulnérabilités Zero Day ont été divulguées hier par la Zero Day Initiative (ZDI) de Trend Micro, qui les a signalées à Microsoft les 7 et 8 septembre 2023.
Bien que Microsoft ait reconnu ces rapports, ses ingénieurs en sécurité ont décidé que les failles n’étaient pas suffisamment graves pour garantir une maintenance immédiate, reportant les correctifs à plus tard.
ZDI n’était pas d’accord avec cette réponse et a décidé de publier les failles sous ses propres identifiants de suivi pour avertir les administrateurs Exchange des risques de sécurité.
Un résumé des failles peut être trouvé ci-dessous :
- ZDI-23-1578 – Une faille d’exécution de code à distance (RCE) dans la classe « ChainedSerializationBinder », où les données utilisateur ne sont pas correctement validées, permettant aux attaquants de désérialiser des données non fiables. Une exploitation réussie permet à un attaquant d’exécuter du code arbitraire en tant que « SYSTÈME », le niveau de privilèges le plus élevé sous Windows.
- ZDI-23-1579 – Localisée dans la méthode ‘DownloadDataFromUri’, cette faille est due à une validation insuffisante d’un URI avant l’accès à la ressource. Les attaquants peuvent l’exploiter pour accéder aux informations sensibles des serveurs Exchange.
- ZDI-23-1580 – Cette vulnérabilité, dans la méthode « DownloadDataFromOfficeMarketPlace », provient également d’une validation URI incorrecte, conduisant potentiellement à une divulgation non autorisée d’informations.
- ZDI-23-1581 – Présente dans la méthode CreateAttachmentFromUri, cette faille ressemble aux bugs précédents avec une validation URI inadéquate, encore une fois, risquant d’exposer des données sensibles.
Toutes ces vulnérabilités nécessitent une authentification pour être exploitées, ce qui réduit leur niveau de gravité CVSS entre 7,1 et 7,5. De plus, exiger une authentification est un facteur d’atténuation et c’est peut-être la raison pour laquelle Microsoft n’a pas donné la priorité à la correction des bogues.
Il convient toutefois de noter que les cybercriminels disposent de nombreux moyens pour obtenir des informations d’identification Exchange, notamment en forçant brutalement des mots de passe faibles, en effectuant des attaques de phishing, en les achetant ou en les acquérant à partir de journaux de voleurs d’informations.
Cela dit, les zéros jours ci-dessus ne doivent pas être traités comme sans importance, en particulier ZDI-23-1578 (RCE), qui peut entraîner une compromission complète du système.
ZDI suggère que la seule stratégie d’atténuation importante consiste à restreindre l’interaction avec les applications Exchange. Cependant, cela peut constituer une perturbation inacceptable pour de nombreuses entreprises et organisations utilisant le produit.
Nous suggérons également de mettre en œuvre une authentification multifacteur pour empêcher les cybercriminels d’accéder aux instances Exchange même lorsque les informations d’identification du compte ont été compromises.
Breachtrace a contacté Microsoft pour un commentaire sur la divulgation de ZDI et attend toujours une réponse.