Numéro : AL19-004
Date : 30 janvier 2019
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. (À la demande des destinataires, le Centre canadien pour la cybersécurité [ou Centre pour la cybersécurité] offre également une assistance additionnelle concernant la teneur de la présente alerte.)
Évaluation
La présente alerte a pour but d’inciter les destinataires à porter une attention particulière à une vulnérabilité qui a été diffusée le 21 janvier 2019 concernant l’élévation des privilèges dans Microsoft Exchange et qui touche les versions de 2013 à 2016 d’Exchange. À l’heure actuelle, aucun correctif n’est offert.
En utilisant des justificatifs d’identité volés, un auteur malveillant qui est capable de communiquer avec un serveur Microsoft Exchange et un contrôleur de domaine Windows hébergés sur un même domaine, pourrait obtenir des privilèges d’administrateurs de domaine. On rapporte également qu’un auteur malveillant pourrait exploiter la même vulnérabilité en ayant recours à une attaque par relais SMB à HTTP tant et aussi longtemps qu’il est dans le même segment de réseau que le serveur Exchange, même si l’auteur malveillant n’a que des justificatifs d’ouverture de session valides sans mot de passe.
Cette vulnérabilité résulte de la combinaison de trois paramètres et mécanismes (par défaut) que l’auteur malveillant peut exploiter pour élever les privilèges de n’importe quel compte courriel à ceux d’administrateur de domaine.
Les trois problèmes sont les suivants :
- Les serveurs Exchange ont, par défaut, des privilèges élevés dans un domaine.
- L’authentification NTLM peut être relayée.
- En utilisant la fonctionnalité d’abonnement par envoi de données (push) EWS (Exchange Web Services), on peut demander à des serveurs Exchange de s’authentifier auprès d’une adresse IP arbitraire.
Mesures recommandées
- Considérer la possibilité de désactiver les abonnements par extraction (pull) ou par envoi de données (push), s’ils ne sont pas nécessaires.
- Activer la signature LDAP et la liaison de canal LDAP pour prévenir le relais vers LDAP et LDAPS respectivement.
- Utiliser un coupe-feu interne pour empêcher Exchange de se connecter aux postes de travail – normalement, les postes de travail devraient se connecter à Exchange et non l’inverse. Ainsi, l’exploitation est beaucoup plus difficile à réaliser.
- Activer la protection étendue de l’authentification aux points terminaux d’Exchange dans les services Internet (IIS). Ainsi, on pourra vérifier les paramètres de liaison de canal dans l’authentification NTLM qui lient l’authentification NTLM à une connexion TLS et prévient le relais vers les EWS.
- Retirer la clé de registre qui rend possible la retransmission vers le serveur Exchange, tel que présenté dans l’article CVE-2018-8518 du correctif fourni par Microsoft.
- Activer la signature SMB sur les serveurs Exchange (et préférablement sur tous les autres serveurs et postes de travail dans le domaine) pour empêcher les attaques par relais interprotocoles contre SMB.
- Retirer les privilèges élevés non essentiels qu’Exchange peut avoir appliqués à l’objet de domaine (cette fonction n’est pas prise en charge par Microsoft et pourrait briser certaines instances).
- Surveiller les journaux des contrôleurs de domaine afin de détecter l’événement 5136 et de trouver les GUID suivants :
- 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 (DS-Replication-Get-Changes)
- 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2 (DS-Replication-Get-Changes-All)
- 89e95b76-444d-4c62-991a-0facbeda640c (DS-Replication-Get-Changes-In-Filtered-Set)
- Surveiller les journaux des contrôleurs de domaine en vue de déceler l’événement suivant et ainsi détecter les attaques par relais NTLM où les justificatifs du serveur Exchange ont été utilisés; le champ d’adresse réseau source (Source Network Address) affichera l’adresse IP de l’attaquant :
- EventCode=4624
- LogonType=3
- Authentication Package=NTLM
- Account Name = VOTRESERVEUREXCHANGE$
Références
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/ (en anglais)
https://docs.microsoft.com/en-us/previous-versions/dotnet/netframework-3.5/dd767318(v=vs.90) (en anglais)
https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2018-8581
Note aux Lecteurs
Le Centre canadien pour la cybersécurité (CCC) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du CCC agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incidents de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert, et coordonne les communications d’information et l’intervention en cas d’incidents. Le CCC est tourné vers l’extérieur et accueille les partenariats visant à créer un cyberespace canadien fort et résilient.