Numéro : AL21-003 MISE À JOUR 4
Date : 2 mars 2021
Mise à jour : 14 avril 2021
AUDITOIRE
La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
OBJET
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
VUE D’ENSEMBLE
Le 2 mars 2021, Microsoft a publié plusieurs mises à jour de sécurité pour Microsoft Exchange Server afin de corriger des vulnérabilités qui auraient été utilisées dans un certain nombre de compromissions ciblées. Le chercheur en sécurité Volexity a rapporté que l’activité semble avoir commencé dès le 6 janvier 2021.
MISE À JOUR 4
Le Centre pour la cybersécurité fournit des renseignements supplémentaires dans la section « DÉTAILS » du présent rapport à propos de nouvelles vulnérabilités qui touchent Microsoft Exchange Server. Dans ses mises à jour, Microsoft fait remarquer qu’on n’a détecté aucune exploitation de ces nouvelles vulnérabilités. Toutefois, le risque d’une exploitation semblable à celle observée en mars 2021 est réitéré pour tout système auquel on n’a pas appliqué les mises à jour d’avril 2021.
MISE À JOUR 3
Le 11 mars 2021, l’équipe de sécurité de Microsoft a publié un gazouillis pour annoncer que des auteurs de menace utilisaient une nouvelle famille de rançongiciels, appelée DearCry, pour exploiter les vulnérabilités liées à Exchange rendues publiques dernièrement. En plus de DearCry, de multiples preuves de concept sont accessibles publiquement et font état de la possibilité de tirer profit des vulnérabilités liées à Exchange pour exécuter du code à distance. Des auteurs de menace exploitent actuellement ces vulnérabilités afin de maintenir l’accès au réseau d’une organisation à des fins malveillantes, par exemple pour lancer des attaques par rançongiciel et exfiltrer des données.
Le Centre pour la cybersécurité a reçu des rapports qui continuent de faire état de systèmes non corrigés partout dans le monde, y compris au Canada. Un certain nombre de ces systèmes canadiens ont été compromis par des maliciels. Nous encourageons toutes les organisations à consulter les sections de la présente alerte portant sur les indicateurs de compromission et l’atténuation, qui ont été mises à jour, pour obtenir des conseils additionnels sur la détection, l’atténuation et les mesures à prendre à la suite d’une compromission.
MISE À JOUR 2
Le 5 mars 2021, le Microsoft Security Response Center a publié une mise à jour sur son blogue, qui présente des techniques d’atténuation de rechange visant à aider les organisations qui ont besoin de plus de temps pour terminer l’application des correctifs. [6] Dans le blogue, Microsoft a souligné que ces techniques d’atténuation ne sont qu’une solution temporaire et ne remplacent pas l’application des correctifs. Le Centre pour la cybersécurité continue d’encourager fortement les organisations à suivre les orientations initiales consistant à bloquer l’accès à ces services jusqu’à ce que les mises à jour requises soient faites et qu’ils soient complètement corrigés.
Microsoft a déclaré que, s’il n’est pas possible de corriger immédiatement Exchange Server 2013, 2016 et 2019, les mesures d’atténuation provisoires consistent à appliquer une règle de réécriture IIS et à désactiver les services liés à la messagerie unifiée (UM), au répertoire virtuel du panneau de configuration Exchange (ECP) et au répertoire virtuel du carnet d’adresses hors ligne (OAB).
Microsoft avertit que ces atténuations ont un impact connu sur les fonctionnalités et seraient efficaces contre l’activité malveillante observée par Microsoft, mais qu’elles ne garantissent pas l’atténuation complète de toutes les méthodes d’exploitation possibles.
Le Centre pour la cybersécurité prévient que ni les solutions de correctif provisoires ni les solutions recommandées ne protègent entièrement les systèmes qui ont été précédemment compromis. Comme cette activité a été signalée à l’origine avant que les correctifs officiels soient disponibles, les organisations sont encouragées à effectuer une analyse approfondie de tous les systèmes susceptibles d’être affectés par ces vulnérabilités à l’aide des ressources fournies par Microsoft. [3]
MISE À JOUR
Le Centre pour la cybersécurité a appris que des auteurs malveillants menaient des activités de balayage actif au moyen d’outils automatisés pour trouver des serveurs non corrigés. [5] Le Centre pour la cybersécurité recommande aux organisations qui possèdent des serveurs externes non corrigés de prendre les mesures suivantes :
- déconnecter le serveur de l’interface externe immédiatement;
- suivre les directives de Microsoft pour ce qui est de la détection d’une compromission [4];
- si aucune compromission n’a été détectée, suivre les recommandations ci-dessous en matière de mise à jour corrective.
Microsoft a indiqué que les versions et mises à jour cumulatives (CU) suivantes d’Exchange doivent être installées avant que la mise à jour de sécurité ne soit effectuée :
- Exchange Server 2010 (la mise à jour exige la SP 3 ou toute SP 3 RU – mise à jour de défense en profondeur)
- Exchange Server 2013 (la mise à jour exige la CU 23)
- Exchange Server 2016 (la mise à jour exige la CU 19 ou CU 18)
- Exchange Server 2019 (la mise à jour exige la CU 8 ou CU 7)
Remarque : Toutes les mises à jour (de sécurité et cumulatives) doivent être exécutées en mode administrateur, et Microsoft a indiqué que plusieurs redémarrages pourraient être nécessaires par la suite. Le blogue de la communauté technique de Microsoft contient des détails additionnels sur les correctifs. [1]
Les organisations sont priées de confirmer qu’aucune activité malveillante n’a été détectée et que les mises à jour cumulatives et les mises à jour de sécurité ont été installées avant de remettre les serveurs en service.
DÉTAILS
Microsoft a publié des mises à jour de sécurité hors bande pour résoudre les vulnérabilités critiques de plusieurs produits Exchange [1] :
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Volexity a également publié un blogue détaillant l’activité observée d’auteurs de menace exploitant à distance une vulnérabilité de falsification de requête côté serveur (SSRF pour ServerSide Request Forgery) du jour zéro dans Microsoft Exchange (CVE-2021-26855) [2]. Cette méthode d’exploitation ne nécessite pas d’authentification et peut être réalisée en accédant à distance à un serveur Exchange externe vulnérable par HTTPS.
Microsoft a signalé que les vulnérabilités suivantes ont été utilisées par des auteurs de menace pour accéder aux systèmes victimes [3] :
- CVE-2021-26855 est une vulnérabilité de falsification de requête côté serveur (SSRF) dans Exchange qui permettait à l’auteur de menace d’envoyer des requêtes HTTP arbitraires et de s’authentifier en tant que serveur Exchange.
- CVE-2021-26857 est une vulnérabilité de désérialisation non sécurisée dans le service de messagerie unifiée. La désérialisation non sécurisée correspond à la désérialisation, par un programme, des données non fiables contrôlables par l’utilisateur. L’exploitation de cette vulnérabilité a permis aux auteurs de menace d’exécuter du code en tant que SYSTÈME sur le serveur Exchange. Pour ce faire, ils doivent disposer d’une autorisation d’administrateur ou exploiter une autre vulnérabilité.
- CVE-2021-26858 est une vulnérabilité d’écriture de fichier arbitraire postauthentification dans Exchange. Si des auteurs de menace arrivaient à s’authentifier auprès du serveur Exchange, ils pourraient utiliser cette vulnérabilité pour écrire un fichier sur n’importe quel chemin sur le serveur. Ils pourraient s’authentifier en exploitant la vulnérabilité SSRF CVE-2021-26855 ou en compromettant les justificatifs d’identité d’un administrateur légitime.
- CVE-2021-27065 est une vulnérabilité d’écriture de fichier arbitraire postauthentification dans Exchange. Si des auteurs de menace arrivaient à s’authentifier auprès du serveur Exchange, il pourrait utiliser cette vulnérabilité pour écrire un fichier sur n’importe quel chemin sur le serveur. Ils pourraient s’authentifier en exploitant la vulnérabilité SSRF CVE-2021-26855 ou en compromettant les justificatifs d’identité d’un administrateur légitime.
Après avoir exploité ces vulnérabilités pour obtenir un accès initial, des auteurs malveillants ont déployé du code encoquillé (web shells) sur le serveur compromis. Ce code encoquillé pourrait permettre aux auteurs de menace de voler des données et de mener d’autres activités malveillantes qui donneraient lieu à des compromissions supplémentaires.
(Mise à jour du 14 avril) Le 13 avril 2021, Microsoft a publié des mises à jour de sécurité pour corriger des vulnérabilités présentes dans plusieurs produits. [10] Ces mises à jour comprenaient des correctifs pour des vulnérabilités importantes qui touchent Microsoft Exchange Server. Microsoft a indiqué que les vulnérabilités corrigées dans les mises à jour d’avril 2021 touchant les produits Microsoft Exchange sont les suivantes :
• Faille liée à l’exécution de code à distance sur le produit Microsoft Exchange Server (CVE-2021-28480)
https://msrc.microsoft.com/update-guide/fr-FR/vulnerability/CVE-2021-28480
- Faille liée à l’exécution de code à distance sur le produit Microsoft Exchange Server (CVE-2021-28481)
https://msrc.microsoft.com/update-guide/fr-FR/vulnerability/CVE-2021-28481
- Faille liée à l’exécution de code à distance sur le produit Microsoft Exchange Server (CVE-2021-28482)
https://msrc.microsoft.com/update-guide/fr-FR/vulnerability/CVE-2021-28482
- Faille liée à l’exécution de code à distance sur le produit Microsoft Exchange Server (CVE-2021-28483)
https://msrc.microsoft.com/update-guide/fr-FR/vulnerability/CVE-2021-28483
Les failles présentées plus haut sont différentes de celles divulguées en mars 2021. Les organismes qui ont récemment appliqué des correctifs en lien avec les activités relevées en mars doivent appliquer les mises à jour de sécurité d’avril 2021. Bien que Microsoft ait indiqué qu’aucune exploitation active de ces vulnérabilités n’ait été observée, le Centre pour la cybersécurité recommande que les organismes appliquent les correctifs le plus rapidement possible. Les auteurs malveillants mettent fréquemment au point des méthodes d’exploitation pour les vulnérabilités récemment divulguées comme celles dont il est actuellement question. Il est donc capital que les systèmes soient mis à jour à leurs plus récentes versions pour prévenir les compromissions.
INDICATEURS DE COMPROMIS
Microsoft et Volexity ont tous deux fourni une analyse technique de l’activité ainsi que des indicateurs de compromission permettant aux défenseurs de déterminer l’impact.
Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/ (en anglais seulement)
« HAFNIUM targeting Exchange Servers with 0-day exploits »
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ (en anglais seulement)
(Mise à jour du 15 mars) Le 8 mars 2021, Microsoft a publié un flux d’indicateurs de compromission observés, à savoir le hachage de maliciels et des chemins d’accès de fichiers malveillants observés lors de campagnes qui exploitaient ces vulnérabilités. [8]
(Mise à jour du 15 mars) La Cybersecurity and Infrastructure Security Agency(CISA) a récemment mis à jour les conseils sur les vulnérabilités liées à Microsoft Exchange publiés dans son alerte AA21-062A. Elle a également fourni des rapports d’analyse de maliciels et des renseignements supplémentaires sur les tactiques, techniques et procédures des auteurs de menace. [9]
Le Centre pour la cybersécurité recommande aux organisations de continuer à consulter les sites Web de ces organisations pour obtenir d’autres mises à jour et recommandations afin de mieux défendre leurs réseaux et leurs systèmes basés sur l’hôte, et de s’informer sur les mesures à prendre en cas de compromission.
ATTÉNUATION
Le Centre pour la cybersécurité recommande aux organisations de se pencher en priorité sur les serveurs Exchange externes et d’appliquer immédiatement les mises à jour nécessaires. L’accès à distance doit être temporairement désactivé sur tous les serveurs externes concernés jusqu’à ce que les correctifs puissent être appliqués. Les correctifs doivent être appliqués à tous les autres serveurs Exchange touchés dès que les serveurs externes de priorité plus élevée auront été corrigés.
Pour réduire le risque d’une compromission initiale, il conviendra de renforcer les systèmes en restreignant les connexions non fiables, notamment en isolant les serveurs Exchange des connexions externes ou en utilisant un réseau privé virtuel (RPV). Microsoft signale que la mise en œuvre de ces mesures d’atténuation protégera les systèmes uniquement contre la partie initiale de la compromission; d’autres parties de la chaîne peuvent être déclenchées si un auteur malveillant a déjà accès aux systèmes ou s’il réussit à convaincre un administrateur d’exécuter un fichier malveillant.
(Mise à jour du 15 mars) Microsoft a publié plusieurs scripts qui aideront à déterminer si les systèmes ont été compromis : [7]
- Test-ProxyLogon.ps1 : vérifie si les fichiers journaux Exchange contiennent des indicateurs de compromission associés à l’exploitation des 4 vulnérabilités.
- Outil d’atténuation pour Exchange local (EOMT pour Exchange On-premises Mitigation Tool) : Microsoft a signalé qu’il s’agit de la façon la plus efficace de protéger rapidement les serveurs Exchange des organisations et de mettre en œuvre les mesures d’atténuation avant d’appliquer les correctifs.
- Http-vuln-cve2021-26855.nse : script NMAP utilisé pour déterminer si l’URL précisée est vulnérable à CVE-2021-26855.
(Mise à jour du 15 mars) Microsoft a affirmé qu’aucune incidence n’a été observée sur la fonctionnalité des serveurs Exchange, mais nous encourageons les administrateurs à passer en revue tous les avis et conseils avant d’exécuter tout outil présenté ici.
(Mise à jour du 15 mars) Le Centre pour la cybersécurité recommande aux organisations d’examiner le rapport publié à la suite de la recherche conjointe menée par les organismes de cybersécurité de cinq pays : l’Australie, le Canada, la Nouvelle-Zélande, le Royaume-Uni et les États-Unis. Ce rapport souligne les approches techniques permettant de détecter les activités malveillantes et présente des mesures d’atténuation fondées sur les pratiques exemplaires. Il vise à permettre aux partenaires et aux administrateurs de réseau d’améliorer l’intervention en cas d’incident et peut servir de guide d’enquête sur les incidents.
(Mise à jour du 15 mars) https://cyber.gc.ca/fr/orientation/bulletin-de-cybersecurite-conjoint
Si une activité correspondant au contenu de cette alerte est détectée, les destinataires sont encouragés à contacter le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).
RÉFÉRENCES
[1] Released: March 2021 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901 (en anglais seulement)
[2] Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/ (en anglais seulement)
[3] HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ (en anglais seulement)
[4] Multiple Security Updates Released for Exchange Server
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ (en anglais seulement)
[5] Mise à jour de l’alerte sur les mesures d’atténuation des vulnérabilités de Microsoft Exchange Server
https://us-cert.cisa.gov/ncas/current-activity/2021/03/04/update-alert-mitigating-microsoft-exchange-server-vulnerabilities (en anglais seulement)
[6] Microsoft Exchange Server Vulnerabilities Mitigations – March 2021
Https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/ (en anglais seulement)
[7] Microsoft CSS-Exchange Security Github
https://github.com/microsoft/CSS-Exchange/tree/main/Security (en anglais seulement)
[8] Flux d’indicateurs de compromission de Microsoft
https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/MSTICIoCs-ExchangeServerVulnerabilitiesDisclosedMarch2021.csv (CSV) (en anglais seulement)
https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/MSTICIoCs-ExchangeServerVulnerabilitiesDisclosedMarch2021.json (JSON) (en anglais seulement)
[9] Alerte (AA21-062A) « Mitigate Microsoft Exchange Server Vulnerabilities »
Https://us-cert.cisa.gov/ncas/alerts/aa21-062a (en anglais seulement)
[10] Bulletin de sécurité de Microsoft – Correctif cumulatif mensuel d’avril 2021
https://cyber.gc.ca/fr/avis/bulletin-de-securite-microsoft-correctif-cumulatif-mensuel-davril-2021
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences qui en découlent. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.