Actualités

Microsoft Exchange Server : avec ou sans application immédiate de la mise à jour, les recommandations ou mises en garde ! (mise à jour de la mise à jour…)

Depuis sa publication initiale du 2 Mars 2021, Microsoft multiplie les missives sécuritaires concernant les vulnérabilités sous Exchange Server. A coup de mises à jour de ses communiqués, la cellule sécuritaire MSRC (Microsoft Security Response Center) informe que les cyber-attaques perdurent avec, cette fois, un penchant net observé pour les terminaux ou environnement n’ayant pas encore accueilli la fameuse mise à jour…

 

 

Les indicateurs de compromission ont été actualisé (liste enrichie) et les hashes sont disponibles en format CSV et JSON, depuis le 8 Mars 2021. En complément et depuis le 5 Mars 2021, Microsoft a mis à disposition pour les administrateurs-systèmes et assimilés toute une batterie de recommandation suivant divers scénarios. Pour ceux et celles ne pouvant, dans l’immédiat, appliquer la mise à jour, il faut consulter la documentation dans le billet dédié (mis à jour, le 9 Mars 2021) qui met en avant plusieurs solutions temporaires ou à moyen terme. Il est fortement souligné que, dans tout les cas, au final, il faudra appliquer le patch correctif pour avoir une solution sur le long terme. Rien d’autre. Au sein d’une page-ressource dédiée à cette faille affectant, pour rappel, les versions 2013, 2016 et 2019 d’Exchange Server, il est indiqué qu’un dysfonctionnement peut se produire (certains fichiers ne s’installent pas correctement voire pas du tout) alors qu’on applique le patch correctif (!) : Microsoft souligne bien que cela ne se produit pas si le patch est installé par voie officielle, depuis le Microsoft Update. Une solution permet de contourner, éventuellement, le problème, en utilisant l’invite-commande en tant qu’administrateur. Une fois le chemin saisi, il est souligné qu’il faut cliquer sur “entrer” et de ne surtout PAS double-cliquer sur le fichier MSP pour l’exécuter. Il faut, par la suite, re-activer votre solution anti-virus et réinitialiser le système ou environnement.

 

Même disposition pour l’équipe de FireEye qui préconise de manière similaire, d’autres recommandations, en plus de moyens de détecter ces vulnérabilités : “Nous vous recommandons de vérifier les éléments suivants pour des preuves potentielles de compromis : Processus enfants de C: \ Windows \ System32 \ inetsrv \ w3wp.exe sur les serveurs Exchange, en particulier cmd.exe. Fichiers écrits sur le système par w3wp.exe ou UMWorkerProcess.exe. Fichiers ASPX appartenant à l’utilisateur SYSTEM Nouveaux fichiers ASPX compilés inattendus dans le répertoire des fichiers ASP.NET temporaires Requêtes de reconnaissance et de test de vulnérabilité aux ressources suivantes à partir d’une adresse IP externe: / rpc / répertoire /ecp/DDI/DDIService.svc/SetObject Ressources inexistantes Avec des user-agents HTTP suspects ou usurpés Demandes de SnapIn Exchange PowerShell inattendues ou suspectes pour exporter des boîtes aux lettres Dans nos enquêtes à ce jour, les shells Web placés sur les serveurs Exchange ont été nommés différemment dans chaque intrusion, et donc le nom de fichier seul n’est pas un indicateur haute fidélité de compromis“, est-il indiqué, en date dans un billet datant du 4 Mars 2021. Il est, également, rappelé, qu’en finalité, une fois l’une des failles implémentées dans le système, un risque d’ex-filtration de données (archive 7-Zip), un export de données-mailing (PowerShell), un détournement de mémoire (dumping) LSASS voire le détournement du framework Covenant, entre-autres, sont possiblement exploitable à distance…

De jolies perspectives de lecture et d’attention sécuritaire à ne pas négliger pour ceux et celles concernées par cette mise à jour au sein d’entreprise ou de parcs informatiques. Pour les plus pressés, une page condensée très fournie et toujours actualisée sur le pouce par Microsoft, au sujet de ces failles 0-day… A veiller !

 




  • 100% J'apprécieVS
    0% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0