Microsoft a averti aujourd’hui dans un avis de sécurité mis à jour qu’une vulnérabilité critique dans Exchange Server avait été exploitée comme un jour zéro avant d’être corrigée lors du Patch Tuesday de ce mois-ci.
Découverte en interne et suivie sous le numéro CVE-2024-21410, cette faille de sécurité peut permettre aux auteurs de menaces distants non authentifiés d’augmenter les privilèges dans les attaques de relais NTLM ciblant les versions vulnérables de Microsoft Exchange Server.
Dans de telles attaques, l’auteur de la menace force un périphérique réseau (y compris des serveurs ou des contrôleurs de domaine) à s’authentifier auprès d’un serveur relais NTLM sous son contrôle pour usurper l’identité des périphériques ciblés et élever les privilèges.
« Un attaquant pourrait cibler un client NTLM tel qu’Outlook avec une vulnérabilité de type fuite d’informations d’identification NTLM », explique Microsoft.
« Les informations d’identification divulguées peuvent ensuite être relayées sur le serveur Exchange pour obtenir des privilèges en tant que client victime et pour effectuer des opérations sur le serveur Exchange au nom de la victime.
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait relayer le hachage Net-NTLMv2 divulgué d’un utilisateur contre un serveur Exchange vulnérable et s’authentifier en tant qu’utilisateur. »
Atténuation via la protection étendue d’Exchange
La mise à jour cumulative Exchange Server 2019 14 (CU14) corrige cette vulnérabilité en activant les protections de relais d’informations d’identification NTLM (également appelées Protection étendue pour l’authentification ou EPA).
EP est conçu pour renforcer la fonctionnalité d’authentification de Windows Server en atténuant le relais d’authentification et les attaques de l’homme du milieu (MitM).
Microsoft a annoncé aujourd’hui que la protection étendue (EP) sera automatiquement activée par défaut sur tous les serveurs Exchange après l’installation de la mise à jour cumulative H1 2024 de ce mois-ci (alias CU14).
Les administrateurs peuvent utiliser le script PowerShell ExchangeExtendedProtectionManagement pour activer EP sur les versions précédentes d’Exchange Server, telles qu’Exchange Server 2016. Cela protégera également leurs systèmes contre les attaques ciblant les appareils non corrigés contre CVE-2024-21410.
Cependant, avant de basculer EP sur leurs serveurs Exchange, les administrateurs doivent évaluer leurs environnements et examiner les problèmes mentionnés dans la documentation de Microsoft pour le script de basculement EP afin d’éviter de casser la fonctionnalité.
Il est conseillé aux administrateurs d’évaluer leurs environnements et d’examiner les problèmes mentionnés dans la documentation du script PowerShell ExchangeExtendedProtectionManagement fourni par Microsoft avant de basculer EP sur leurs serveurs Exchange pour éviter que certaines fonctionnalités ne se cassent.
Aujourd’hui, Microsoft a également étiqueté par erreur une vulnérabilité critique d’exécution de code à distance (RCE) Outlook (CVE-2024-21413) comme exploitée dans des attaques avant d’être corrigée lors du Patch Tuesday de ce mois-ci.