Vulnérabilités critiques impactant les serveurs Microsoft Exchange

Le 13 Avril, Microsoft a publié son avis de sécurité mensuel où il corrige un grand nombre de vulnérabilités présentant un niveau de risque élevé sur différents logiciels.

Parmi ces failles, quatre vulnérabilités particulièrement critiques concernant Microsoft Exchange ont été corrigées.

L’ANSSI et le CERT Santé recommandent fortement de prioriser la mise à jour des dispositifs affectés par ces vulnérabilités.

Ces vulnérabilités, référencées CVE-2021-28480, CVE-2021-28481, CVE-2021-28482 et CVE-2021-28483, n’ont aucun lien avec les vulnérabilités découvertes le mois dernier.

Elles permettent à un attaquant de réaliser une exécution de code arbitraire à distance et de prendre le contrôle des serveurs Microsoft Exchange. En particulier, les CVE-2021-28480 et CVE-2021-28481 ont un score CVSS v3 de 9.8 sur 10 car l’attaquant n’a pas besoin d’être authentifié pour les exploiter.

Les serveurs Exchange étant opérés avec des hauts privilèges, les attaquants pourront rapidement obtenir les droits et privilèges de l’administrateur de domaine Active Directory.

L’éditeur Microsoft a également souligné la facilité avec laquelle ces vulnérabilités peuvent être exploitées. Il est donc urgent de procéder à l’application des mises à jour.

Microsoft Exchange Server 2013 Cumulative Update 23

Microsoft Exchange Server 2016 Cumulative Update 19

Microsoft Exchange Server 2016 Cumulative Update 20

Microsoft Exchange Server 2019 Cumulative Update 8

Microsoft Exchange Server 2019 Cumulative Update 9

Les correctifs de sécurité adressés à ces vulnérabilités sont disponibles sur l'avis de sécurité Microsoft d'Avril 2021, un lien vers celui-ci est disponible en référence de ce bulletin d'alerte.

Il est important de noter que ces vulnérabilités ont pu être exploitées avant que les correctifs de sécurité aient été installés.

Nous vous recommandons vivement de vous assurer que ces failles n'ont pas été exploitée sur vos serveurs.

Un guide Microsoft permettant de s'assurer de l'absence de risque sur les infrastructures Microsoft Exchange est notamment disponible en référence de ce bulletin.