Sélection de la langue

Recherche

Alerte - Vulnérabilités du jour zéro de Microsoft Exchange - Mise à jour 1

Numéro : AL22-011
Date : 30 septembre 2022
Mise à jour : 9 novembre 2022

Auditoire

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 29 septembre 2022, Microsoft a publié un bulletin confirmant l’existence de vulnérabilités touchant Microsoft ExchangeNote de bas de page 1. Les vulnérabilités, signalées initialement par GTSC Vietnam Technology ServicesNote de bas de page 2, peuvent être exploitées uniquement par un utilisateur authentifié. Microsoft signale que la première vulnérabilité, soit CVE-2022-41040, est une vulnérabilité de falsification de requête côté serveur (SSRF pour Server-Side Request Forgery), tandis que la deuxième vulnérabilité, soit CVE-2022-41082, permet l’exécution de code à distance lorsque l’auteur malveillant a accès à PowerShell.

GTSC a précisé que des auteurs malveillants ont exploité ces vulnérabilités, ce qui a mené au déploiement de code encoquillé, à la divulgation d’information, à l’exécution de commandes et à des déplacements latéraux.

Mise à jour 1

Le 8 novembre 2022, des correctifs pour les vulnérabilités CVE-2022-41040 Note de bas de page 5 et CVE-2022-41082 Note de bas de page 6 ont été publiés dans les mises à jour de sécurité de novembre 2022 Note de bas de page 7.

Mesures recommandées

Microsoft a déclaré que des correctifs sont en train d’être conçus, mais que les mesures d’atténuation recommandées, telles que celles fournies par GTSC, permettent de bloquer les activités malveillantes. Ces recommandations sont incluses dans les bulletins de Microsoft et de GTSCNote de bas de page 1Note de bas de page 2Note de bas de page 4.

À la suite de son intervention en cas d’incident, GTSC a dressé une liste d’indicateurs de compromission (IC) pour aider les responsables de la défense réseau à détecter les activités malveillantes. Le Centre pour la cybersécurité recommande aux clients touchés de passer en revue son bulletin de cybersécurité conjoint sur les approches techniques à la détection et à l’atténuation des activités malveillantesNote de bas de page 3.

Il recommande également aux clients d’Exchange de continuer à surveiller la page Web contenant les bulletins de Microsoft et de mettre à jour les systèmes dès qu’un correctif est disponible.

S’ils relèvent des activités similaires aux informations fournies dans la présente alerte, les destinataires sont invités à le signaler par l’entremise de Mon cyberportail ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :