Microsoft Exchange : encore une vulnérabilité critique

Microsoft Exchange fait son retour dans la liste des vulnérabilités traitées par le Patch Tuesday de mars. Au total, avec cette édition, Microsoft a corrigé 71 failles, dont trois jugées critiques. Les administrateurs d’un serveur Exchange on-prem devront se concentrer sur la correction de la vulnérabilité CVE-2022-23277 permettant l’exécution de code à distance. Avec un score CVSS de 8,8 sur 10, elle est qualifiée de critique et affecte toutes les versions supportées du serveur.

Une fois authentifié, l’attaquant n’a pas besoin d’interaction de l’utilisateur pour exécuter un code malveillant et toucher les comptes du serveur : « même s’il y a quelques obstacles à franchir pour l’attaquant, cette vulnérabilité critique d’Exchange devient une priorité », estime Chris Goettl, d’Ivanti en charge des produits.

Contrairement aux vulnérabilités ProxyLogon et ProxyShell ayant marqué l’année passée, cette nouvelle vulnérabilité n’a donc pas le potentiel d’ouvrir la voie à des accès initiaux, mais elle pourrait avoir toute sa place dans des cinétiques d’attaque.

La vulnérabilité CVE-2022-24508, affectant SMBv3, pourrait s’avérer encore plus préoccupante, même si son score CVSS n’est pas plus élevé. Comme le souligne Sophos, elle ne nécessite pas d’authentification et pourrait être exploitée comme vecteur d’attaque « tel que ceux qui ont conduit à l’exploit EternalBlue ». À ce stade, toutefois, aucune exploitation effective n’est connue.

Les notes de Microsoft fournissent une commande PowerShell pour aider les administrateurs qui ne sont pas en mesure de corriger rapidement les systèmes affectés, ainsi que des instructions supplémentaires pour bloquer le port TCP 445 dans le pare-feu et empêcher l’exploitation de la vulnérabilité de l’extérieur.