Avertissement sans frais de Microsoft : protégez cette partie essentielle de votre infra serveur

Microsoft demande à ses clients d'appliquer rapidement ses dernières mises à jour pour protéger Exchange Server contre des attaquants qui continuent de cibler la plate-forme pour accéder aux emails des entreprises et s'emparer de leurs carnets d'adresses à des fins de phishing.

"Les attaquants qui cherchent à exploiter les serveurs Exchange non corrigés ne vont pas disparaître", prévient l'équipe Exchange de Microsoft. "Nous savons qu'il est essentiel de protéger votre environnement Exchange, et nous savons que c'est une tâche sans fin", ajoute-t-elle.

L'avertissement de Redmond fait suite à la décision de la Cybersecurity and Infrastructure Security Agency (CISA), au début du mois, d'ordonner aux agences fédérales américaines de corriger le bogue Exchange CVE-2022-41080.

Une ressource essentielle pour le phishing

Microsoft a publié une mise à jour pour la faille qui permettait d'effectuer des élévation de privilèges en novembre. Et les chercheurs de CrowdStrike ont par la suite découvert que des attaquants l'avaient combinée avec CVE-2022-41082 -- l'un des deux bogues ProxyNotShell -- pour obtenir une exécution de code à distance.

Exchange Server non corrigé est une cible populaire en raison de la valeur des courriels et du fait qu'Exchange Server contient une copie du carnet d'adresses de l'entreprise, ce qui est utile pour les attaques de phishing, note Microsoft. En outre, Exchange a des "liens profonds" avec les permissions d'Active Directory et, dans un environnement hybride, donne également à un attaquant un accès à l'environnement cloud.

Pour défendre vos serveurs Exchange contre les attaques exploitant des vulnérabilités connues, vous devez installer la dernière mise à jour cumulative (CU) prise en charge, à savoir CU12 pour Exchange Server 2019, CU23 pour Exchange Server 2016 et CU23 pour Exchange Server 2013, ainsi que la dernière mise à jour de sécurité (SU), à savoir SU de janvier 2023, indique Microsoft.

Exchange Server sous surveillance depuis ProxyShell

Les administrateurs doivent uniquement installer les dernières CU et SU d'Exchange Server car il s'agit de mises à jour cumulatives. Cependant, il est recommandé d'installer la dernière CU et de vérifier ensuite si des SU ont été publiées après la publication de la CU.

Exchange Server a fait l'objet d'une attention particulière au début de l'année 2021 après que Microsoft ait corrigé quatre failles de type "zero-day", connues sous le nom de ProxyShell, qui ont été exploitées par des attaquants soutenus vraisemblablement par la Chine. C'était la première fois que Google Project Zero découvrait des zero days sur Exchange Server, depuis qu'il avait commencé à auditer le code en 2014.

Microsoft conseille aux administrateurs de toujours exécuter Health Checker après l'installation d'une mise à jour pour vérifier les tâches manuelles requises après la mise à jour. Health Checker fournit des liens vers des conseils étape par étape.

Le géant technologique indique également qu'il peut publier une mesure d'atténuation pour une vulnérabilité connue avant de publier une SU. L'option appliquée automatiquement est le Exchange Emergency Mitigation Service, et une option manuelle est le Exchange On-Premises Mitigation Tool.

Source : "ZDNet.com"