Même si cela ne fait que quelques mois depuis l'attaque déjà célèbre contre la chaîne d'approvisionnement de SolarWinds, nous devons encore une fois écrire sur un autre problème de piratage, cette fois lié à Microsoft Exchange Server.
Dans ce cas, le Vulnérabilités Zero-Day détectées dans Microsoft Exchange Server 2013, 2016 et 2019 permettre à un attaquant de les exploiter avec un impact sur plusieurs organisations et entreprises avec des serveurs Exchange sur site qui permettent l'accès aux comptes de messagerie et même l'installation de logiciels malveillants pour permettre un accès à long terme à ces serveurs. Microsoft a détecté les attaques du groupe Hafnium, mais aussi, d'autres auraient pu utiliser ces exploits 0 jours maintenant que les attaques étaient publiques.
Ces vulnérabilités ont été enregistrées et documentées avec les codes CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065, et toutes ces vulnérabilités sont des adresses, des mises à jour urgentes sont donc fortement recommandées aux clients. .
Si vous êtes préoccupé par ces attaques, nous vous recommandons de mettre en œuvre une solution de haute disponibilité ainsi qu'un pare-feu d'application Web afin de les atténuer, comme la solution ZEVENET. Si la mise à jour Exchange Server n'est pas possible, Microsoft recommande de mettre en œuvre les atténuations:
1. Atténuation des utilisateurs de confiance: Accès aux serveurs Microsoft Exchange pour les utilisateurs de confiance uniquement via le service VPN.
2. Atténuation des cookies backend: Implémentez une règle de pare-feu d'application Web pour filtrer les requêtes HTTPS malveillantes à l'aide de X-AnonResource-Backend et malformé X-BEResource cookies dans les en-têtes utilisés dans le SSRF attaques.
3. Atténuation de la messagerie unifiée: Désactiver la messagerie unifiée
4. Atténuation du panneau de configuration Exchange: Désactiver ECP VDir
5. Atténuation du carnet d'adresses hors ligne: Désactiver OAB VDir
Chez ZEVENET, nous avons travaillé à les implémenter très facilement via le module WAF et de tout nouveaux services VPN. En outre, la haute disponibilité, la sécurité supplémentaire et l'équilibrage de charge pour les serveurs Exchange peuvent être mis en œuvre avec ZEVENET:
Ne doutez pas de nous contacter pour avoir plus de détails sur la façon de mettre en œuvre ces atténuations!
Informations officielles liées à ces vulnérabilités Microsoft:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
Blogs connexes
