Microsoft Exchange - CVE-2022-41082
Date de publication :
Une faille dans des serveurs Windows Exchange reliés à Internet permet à un attaquant distant et authentifié d'exécuter du code arbitraire.
Cette faille est activement exploitée.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type :
- En cours de recherche.
Détails sur l'exploitation
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Systèmes ou composants affectés
Microsoft Exchange Server en versions 2013, 2016 et 2019 est affecté par cette vulnérabilité.
Contournement provisoire
Bloquer les ports suivants HTTP : 5985 et HTTPS : 5986 utilisés pour Remote PowerShell.
- Ajouter une règle de blocage dans IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions pour bloquer les modèles d'attaque connus.
- Effectuer une réécriture d’URL selon un schéma indiqué par Microsoft, visant à bloquer la chaîne d’attaque.
- Afin de déterminer si la vulnérabilité a été exploitée, exécuter la commande suivante depuis une console PowerShell : « Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200' ».
- Par défaut, les journaux d’activités IIS sont localisés à cet emplacement : %SystemDrive%\inetpub\logs\LogFiles.
Solutions ou recommandations
Mettre à jour Microsoft Exchange avec les mises à jour cumulatives suivantes :
- Mise à jour cumulative 12 pour Microsoft Exchange Server 2019.
- Mise à jour cumulative 11 pour Microsoft Exchange Server 2019.
- Mise à jour cumulative 23 pour Microsoft Exchange Server 2016.
- Mise à jour cumulative 22 pour Microsoft Exchange Server 2016.
- Mise à jour cumulative 23 pour Microsoft Exchange Server 2013.