Sélection de la langue

Alerte - Vulnérabilité d’exécution de code à distance liée aux clés de validation

Numéro : AL20-006
Date : 12 mars 2020

PUBLIC

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

OBJET

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. À la demande des destinataires, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) offre également une assistance additionnelle concernant la teneur de la présente alerte.

DÉTAILS

Le 11 février 2020, Microsoft a publié une mise à jour de sécurité (CVE 2020 0688) pour corriger une vulnérabilité importante dans Microsoft Exchange Server. Un auteur de menace qui obtiendrait n’importe quel niveau d’accès authentifié au panneau de configuration Exchange (ECP pour Exchange Configuration Panel) Web d’un serveur Exchange non corrigé pourrait tirer profit des clés cryptographiques fixes publiées qui sont présentes dans le fichier web.config de tous les serveurs Exchange vulnérables. À l’aide de ces clés, ainsi que des paramètres additionnels offerts à tout utilisateur connecté à l’ECP, un auteur de menace peut concevoir une requête http(s) spéciale qui comprend une requête ViewState signée et sérialisée contenant du code arbitraire. Le serveur répondra en désérialisant la requête et en exécutant le code intégré en tant que SYSTEM.
Le Centre pour la cybersécurité est au courant de l’existence de rapports publics selon lesquels des auteurs de menace doués tentent activement d’exploiter cette vulnérabilité. Selon ces rapports publics, la vulnérabilité peut être exploitée même lorsqu’un mécanisme d’authentification à deux facteurs (2FA) est en place. Le Centre pour la cybersécurité n’a toutefois pas été en mesure de confirmer cette déclaration.
Voici les versions vulnérables de Microsoft Exchange :

- Exchange 2010;
- Exchange 2013;
- Exchange 2016;
- Exchange 2019.

MESURES RECOMMANDÉES

Le Centre pour la cybersécurité recommande aux organismes d’installer immédiatement les mises à jour de sécurité les plus récentes de Microsoft et de s’assurer que l’ECP, s’il est accessible depuis Internet, est protégé au moyen d’un mécanisme d’authentification à deux facteurs.

Le Centre pour la cybersécurité recommande également aux organismes utilisant les versions vulnérables de Microsoft Exchange d’examiner leurs systèmes et journaux afin de détecter les signes de compromission.

Voici les signes de compromission :

- journaux IIS contenant des requêtes Web suspectes liées à des ressources sous <FQDN>/ecp/, particulièrement les requêtes GET faisant référence à __VIEWSTATE ou à une variante;
- entrées imprévues du journal d’application Windows liées au panneau de configuration de MS Exchange, particulièrement Event ID 4;
- processus exécutables enfants produits par w3wp.exe. 

Voici les mesures à prendre en cas de détection de signes de compromission :

- isoler les serveurs touchés du reste du réseau;
- forcer la réinitialisation des mots de passe Active Directory pour tous les utilisateurs d’Exchange;
- effectuer un balayage des serveurs touchés pour déceler les processus ou fichiers suspects ou malveillants;
- examiner les serveurs touchés pour détecter les mécanismes persistants, comme des tâches imprévues ou des entrées d’exécution automatique dans le registre Windows;
- examiner le trafic réseau pour déceler les signes de mouvement latéral du système touché.


RÉFÉRENCES

Avis de sécurité de Microsoft :
https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2020-0688

Renseignements supplémentaires :
https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

Détection :
https://www.trustedsec.com/blog/detecting-cve-20200688-remote-code-execution-vulnerability-on-microsoft-exchange-server


NOTE AUX LECTEURS

Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

Date de modification :