Microsoft a diffusé début mars 2021 une liste de vulnérabilités critiques concernant ses serveurs Exchange OnPremise. Et notamment sur quatre failles Zero-day. Suite à la publication, Microsoft recense encore 82 000 serveurs vulnérables et de nombreux cas d’exploitation à des fins de diffusion de cryptomalwares.
Ces vulnérabilités sont référencées sous les CVE suivantes :
- CVE-2021-26855,
- CVE-2021-26857,
- CVE-2021-26858,
- CVE-2021-27065.
Leurs exploitations permettent à un attaquant d’accéder aux comptes emails et d’installer des programmes (malware, rootkit) sur le serveur.
Vecteur initial de l’attaque
La première vulnérabilité exploitée dans le cheminement de l’attaque est la CVE-2021-26855, qui décrit une vulnérabilité de « Server Side Request Forgery » (SSRF) et permet à l’attaquant d’envoyer une requête http forgée afin de s’authentifier sur le serveur Exchange en tant qu’administrateur. Après avoir exploité la 26855, les vulnérabilités CVE-2021-26858 et CVE-2021-27065 permettent d’écrire arbitrairement un fichier sur le serveur Exchange. Ce fichier pourra être n’importe quel outil utilisable par l’attaquant, ou une charge virale de type cryptomalware par exemple. Une fois les fichiers sur le serveur, la CVE-2021-26857 est exploitée à travers le service « Unified Messaging ». Une attaque de désérialisation des données permet de transmettre des commandes au programme et ainsi, par exemple, d’exécuter les fichiers déposés. C’est donc l’exploitation combinée de ces quatre vulnérabilités qui permet à un attaquant de prendre la main le serveur Exchange vulnérable.
Les versions d’exchange concernées sont :
- Exchange 2013, 2016, 2019
- Exchange 2010 uniquement pour la CVE-2021-26857
Les versions antérieures ne semblent pas impactées, de même que Exchange Online n’est pas touché.
Moyens de protection fournis par Stormshield
Stormshield permet une protection renforcée de l’infrastructure grâce à ses solutions Stormshield Network Security (SNS) et Stormshield Endpoint Security (SES). La première solution, SNS, pourra intervenir sur le flux entre l’attaquant et le serveur, tandis que la deuxième, SES, interviendra directement sur le serveur sur lequel elle est installée.
Stormshield Network Security (SNS)
Cloisonnement
L’utilisation d’un firewall de protection frontal au serveur exchange, avec le filtrage des ports, permettra de limiter l’exploitabilité de la vulnérabilité. Pour rappel, les ports à autoriser sont : 443, 993, 587. Le serveur exchange doit par ailleurs être isolé du LAN par des règles de filtrage, limitant ainsi la diffusion possible d’une attaque à l’ensemble du réseau.
Signature de protection
Stormshield a développé la signature http:client:header:cookie.31 spécifique permettant de détecter l’exploitation de la vulnérabilité CVE-2021-26855 et ainsi, de bloquer le vecteur initial de l’attaque.
Stormshield Endpoint Security (SES)
Analyse comportementale
L’utilisation d’une solution SES permet de contrôler en profondeur le comportement d’un OS. Dans le cas présent, SES permet de contrôler les opérations anormales des composants des serveurs Web et Exchange. En particulier, SES peut détecter l'écriture de fichiers depuis IIS et Exchange en adaptant le niveau de réponse en fonction du type de fichier.
Si la première barrière est franchie, SES peut également détecter et bloquer l'exécution de commandes depuis un webshell préalablement installé par un acteur malveillant.
Les règles applicatives des produits SES permettent également de bloquer toute écriture ou exécution de programmes malveillants depuis les composants des serveurs Web et Exchange. Il est ainsi possible de bloquer des outils offensifs tels que procdump ou mimikatz.
Autres recommandations
Il est bien évidemment primordial de mettre à jour les serveurs Exchange avec les patchs fournis par Microsoft : techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901
De plus, il est nécessaire de rechercher toute trace de compromission sur les serveurs Exchange. Pour cela, Microsoft fournit des IoC, ainsi qu’un outil spécifique : msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
