Microsoft Exchange - CVE-2022-41082

Date de publication : 14/10/2022

Une faille dans des serveurs Windows Exchange reliés à Internet permet à un attaquant distant et authentifié d'exécuter du code arbitraire.

Cette faille est activement exploitée.

Informations

La faille est activement exploitée : Oui

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Exécution de code arbitraire

La vulnérabilité exploitée est du type :

Détails sur l'exploitation

Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Microsoft Exchange Server en versions 2013, 2016 et 2019 est affecté par cette vulnérabilité.

Bloquer les ports suivants HTTP : 5985 et HTTPS : 5986 utilisés pour Remote PowerShell.

Ajouter une règle de blocage dans IIS Manager -> Default Web Site -> Autodiscover -> URL Rewrite -> Actions pour bloquer les modèles d'attaque connus.
Effectuer une réécriture d’URL selon un schéma indiqué par Microsoft, visant à bloquer la chaîne d’attaque.
Afin de déterminer si la vulnérabilité a été exploitée, exécuter la commande suivante depuis une console PowerShell : « Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200' ».
Par défaut, les journaux d’activités IIS sont localisés à cet emplacement : %SystemDrive%\inetpub\logs\LogFiles.

Mettre à jour Microsoft Exchange avec les mises à jour cumulatives suivantes :