Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierIT-Connect

CVE-2024-21410 – Au moins 28 500 serveurs Exchange vulnérables à cette faille de sécurité exploitée !

20 février 2024 à 06:35

À l'heure où ces lignes sont écrites, il y a au moins 28 500 serveurs de messagerie Exchange vulnérables à la nouvelle faille de sécurité critique CVE-2024-21410 patchée la semaine dernière par Microsoft. En réalité, le nombre de serveurs vulnérables pourrait être beaucoup plus élevé. Faisons le point !

À l'occasion de son Patch Tuesday de Février 2024, Microsoft a corrigé 73 failles de sécurité, ainsi que plusieurs failles zero-day. C'est notamment le cas de la CVE-2024-21410, car cette vulnérabilité présente dans Microsoft Exchange Server a été exploitée par les pirates en tant que faille zero-day avant qu'elle ne soit patchée.

Associée à un score CVSS v3.1 de 9.8 sur 10, cette faille de sécurité critique permet à un attaquant non authentifié d'élever ses privilèges en s'appuyant sur une attaque par relais NTLM ciblant un serveur Microsoft Exchange vulnérable.

Comme souvent, le service de monitoring The Shadowserver a mis en ligne quelques statistiques intéressantes pour nous indiquer combien il y a de machines potentielles vulnérables. Les serveurs Exchange étant, généralement, exposés sur Internet, il est possible de les sonder et de récupérer le numéro de version.

Ainsi, sur un total de 97 000 serveurs Exchange identifiés, il y a 28 500 serveurs qui sont vulnérables à la vulnérabilité CVE-2024-21410. Pour environ 68 500 serveurs, l'état est inconnu puisque cela dépend si les administrateurs ont appliqué ou non les mesures d'atténuation. Nous pouvons imaginer que c'est le cas pour une partie des serveurs, mais pas pour tous... Ce qui augmente forcément le nombre de serveurs vulnérables.

La France, dans le Top 5

En ce qui concerne les pays avec le plus de serveurs Exchange vulnérables, The Shadowserver a publié une liste sur cette page. Voici le Top 5 :

PaysNombre d'adresses IP uniques
Allemagne22 903
États-Unis19 434
Royaume-Uni3 665
Pays-Bas3 108
France3 074

Nous savons que cette vulnérabilité est exploitée dans le cadre d'attaques. À l'heure actuelle, aucun exploit PoC public semble être disponible. Pour autant, il convient de se protéger dès que possible.

Comment se protéger ?

Sur Exchange Server 2019, vous devez installer la Cumulatice Update 14 (CU14) pour vous protéger. Pour en savoir plus sur cette vulnérabilité, et savoir comment se protéger sur les différentes versions d'Exchange Server, consultez notre article ci-dessous :

Source

The post CVE-2024-21410 – Au moins 28 500 serveurs Exchange vulnérables à cette faille de sécurité exploitée ! first appeared on IT-Connect.

Microsoft Exchange affecté par une nouvelle faille zero-day : CVE-2024-21410

15 février 2024 à 07:20

Microsoft a actualisé le bulletin de sécurité associé à la faille de sécurité CVE-2024-21410. La raison ? Il s'avère que cette vulnérabilité présente dans Exchange Server a été exploitée par les pirates en tant que faille zero-day avant qu'elle ne soit patchée. Faisons le point.

La faille de sécurité CVE-2024-21410 est considérée comme étant critique puisqu'elle hérite d'un score CVSS v3.1 de 9.8 sur 10. Elle a été divulguée par Microsoft ce mardi 13 février 2024 à l'occasion de la sortie du nouveau Patch Tuesday.

En l'exploitant, un attaquant non authentifié peut élever ses privilèges en s'appuyant sur une attaque par relais NTLM ciblant un serveur Microsoft Exchange vulnérable. Cela signifie que l'attaquant va parvenir à s'authentifier auprès du serveur de messagerie en usurpant l'identité de l'utilisateur pris pour cible.

Sur son site, Microsoft explique : "Un attaquant peut cibler un client NTLM tel qu'Outlook avec une vulnérabilité de type NTLM credentials-leaking. Les informations d'identification divulguées peuvent alors être relayées contre le serveur Exchange pour obtenir des privilèges en tant que client victime et effectuer des opérations sur le serveur Exchange au nom de la victime."

Comment se protéger ?

Pour vous protéger, Microsoft a publié une nouvelle cumulative update pour Exchange Server 2019 dont l'objectif est d'activer Exchange Extended Protection for Authentication (EPA). Le fait d'activer cette fonctionnalité va vous protéger contre les attaques de type relais NTLM et man-in-the-middle, ce qui permet de bloquer les tentatives d'exploitation de cette vulnérabilité.

Sur Exchange Server 2019, le fait d'installer la mise à jour "Microsoft Exchange Server 2019 Cumulative Update 14" va permettre d'activer par défaut l'Extended Protection for Authentication, ce qui va vous protéger. Pour les versions plus anciennes, vous devez l'activer vous-même à l'aide d'un script. Mais attention, en fonction de l'usage qui est fait de l'Exchange Server, le fait d'activer cette fonctionnalité de sécurité peut avoir des effets de bords.

Voici des scripts utiles pour vous aider :

Source

The post Microsoft Exchange affecté par une nouvelle faille zero-day : CVE-2024-21410 first appeared on IT-Connect.

❌
❌