Connexion
Each Exchange mailbox can be assigned multiple email addresses. These proxy addresses are also called aliases. Until now, you could use them to receive messages, but to send emails, you had to use the standard address. Now Microsoft 365 also allows you to send email via an alias.
The post Send emails in Exchange Online using an alias address: Configuration with PowerShell and admin center first appeared on 4sysops.The automatic or out-of-office "OOF" reply (also called "out-of-office assistant") has been available in Exchange for a long time and is one of the most important features for end users. If they can't set up their automatic replies themselves, the admin can use ECP and PowerShell to do so.
The post Configure automatic reply message in Exchange with PowerShell or ECP first appeared on 4sysops.Vous pouvez exporter vers un format PST à partir d’un serveur Exchange à l’aide de la commande PowerShell Exchange Management Shell (EMS) New-MailboxExportRequest ou via le Centre d’administration Exchange (EAC). Cependant, ces méthodes présentent certaines limites, telles que : Avec PowerShell et Exchange Admin Center, vous ne pouvez exporter qu’une seule boîte à la fois. […]
The post Stellar Converter EDB pour convertir les fichiers Exchange EDB en PST first appeared on UnderNews.En ce moment, un nouveau ransomware avec le nom de LockFile se montre particulièrement actif ! Pour faire des victimes, il s'appuie sur l'exploitation de failles connues : les vulnérabilités ProxyShell qui affectent les serveurs Exchange et la faille PetitPotam qui affecte les autorités de certification Active Directory.
Même si elles sont corrigées depuis plusieurs mois, certains serveurs de messagerie Exchange ne sont pas protégés contre les failles ProxyShell. Les hackers en profitent pour compromettre des serveurs Exchange à distance en injectant un webshell, le tout sans être authentifié, dans le but de prendre le contrôle du domaine Active Directory et de chiffrer les serveurs avec LockFile.
Voici les trois vulnérabilités ProxyShell :
- CVE-2021-34473 - corrigée en avril avec la mise à jour KB5001779
- CVE-2021-34523 - corrigée en avril avec la mise à jour KB5001779
- CVE-2021-31207 - corrigée en mai avec la mise à jour KB5003435
Lorsque l'attaquant a pris le contrôle du serveur Exchange, il va chercher à exploiter la vulnérabilité PetitPotam pour prendre le contrôle du domaine Active Directory.
Quant au ransomware LockFile, il a été détecté pour la première fois en juillet. Lorsqu'une entreprise en fait les frais, les fichiers sont chiffrés avec l'extension ".lockfile" et le ransomware laisse une note sur le serveur avec un fichier nommé "<nom de la victime>-LOCKFILE-README.hta". Ce fichier affiche une page qui donne des instructions et invite la victime à rentrer en contact avec le hacker pour négocier la rançon. Il s'avère que la mise en forme de cette page est très proche de celle du ransomware LockBit, mais difficile de dire s'il y a réellement un lien entre les deux.
Pour le moment, LockFile semble s'attaquer à des entreprises basées aux États-Unis et en Asie, mais il n'est pas à exclure qu'il s'attaque à l'Europe : il est donc préférable d'anticiper et de patcher vos serveurs. Comme on dit, mieux vaut prévenir que guérir.
D'après les informations publiées sur le site CERT-FR, des entités françaises sont visées dans le cadre d'attaques qui s'appuient sur l'exploitation des vulnérabilités ProxyShell, présentent sur les serveurs de messagerie Microsoft Exchange. Dans le même esprit, j'ai décidé d'en remettre une couche pour vous avertir !
Bien qu'elles soient connues depuis plusieurs mois et que Microsoft a déjà publié des correctifs, il semblerait qu'il y ait encore des serveurs Exchange vulnérables aux failles de sécurité ProxyShell. Des campagnes d'attaques sont en cours, en France et ailleurs, notamment dans le but d'exécuter le ransomware LockFile sur les serveurs de la victime.
Derrière le nom ProxyShell se cache trois vulnérabilités :
Des travaux récents ont permis de déterminer que l'exploitation en chaîne de ces trois failles de sécurité permet de prendre le contrôle d'un serveur Exchange à distance.
La réponse est "oui" ! Et, c'est tant mieux ! En mai dernier, Microsoft a corrigé la faille de sécurité CVE-2021-31207, tandis que les deux autres ont eu le droit à un correctif en juillet. À ce jour, il est possible de protéger complètement son serveur Exchange contre les vulnérabilités ProxyShell. Pour cela, il faut prendre le temps de passer les mises à jour.
Des correctifs sont disponibles pour les versions suivantes d'Exchange :
Si vous utilisez un serveur Exchange et qu'il est accessible depuis Internet, il est fortement recommandé de le mettre à jour sans plus attendre !
Difficile de répondre à cette question, mais vous pouvez déjà regarder si votre serveur Exchange a été scanné. S'il a été scanné avant d'être patché, dans ce cas menez vos investigations un peu plus loin.
Pour vérifier s'il a été scanné, je vais relayer les conseils publiés sur le site CERT-FR : "Le chercheur en sécurité Kevin Beaumont a conseillé de vérifier la présence des motifs « /autodiscover/autodiscover.json » et « /mapi/nspi/ » dans les journaux pour identifier si le serveur a fait l’objet d’une reconnaissance."
À vous de jouer et n'hésitez pas à partager un maximum pour faire circuler l'info !
The post Microsoft Exchange et ProxyShell : des attaques sont en cours, en France first appeared on IT-Connect.Au mois d’août, le nombre d’utilisateurs attaqués par des exploits ciblant des vulnérabilités inhérentes aux serveurs Microsoft Exchange et bloqués par les solutions Kaspersky a augmenté de 170 % en passant de 7 342 à 19 839. La France fait partie du top 10 des pays ciblés avec 845 utilisateurs uniques attaqués par de tels exploits en août.
The post Les tentatives d’attaque sur Microsoft Exchange ont augmenté de 170 % en août 2021 first appeared on UnderNews.Un bug dans la fonctionnalité Autodiscover des serveurs de messagerie Exchange a entrainé la fuite d'environ 100 000 couples identifiants et mot de passe à travers le monde !
Dans un nouveau rapport qu'il vient de publier, Amit Serper de chez Guardicore, explique qu'une mauvaise implémentation de la fonction Autodiscover dans Exchange est à l'origine de ce bug de sécurité. Conséquence : vos identifiants Windows peuvent être envoyés à des sites tiers non sécurisés.
Pour rappel, l'Autodiscover est une fonctionnalité très appréciée puisqu'elle permet de faciliter l'ajout d'un compte e-mail dans un client de messagerie tel qu'Outlook. En effet, lorsque l'utilisateur spécifie son identifiant et son mot de passe, le client de messagerie va rechercher lui-même le serveur de messagerie correspondant grâce à l'Autodiscover.
Ce qui nécessite que l'identifiant et le mot de passe soient envoyés au serveur qui correspond à l'adresse Autodiscover du domaine en question, afin de permettre l'authentification.
Reprenons l'exemple donné par Amit Serper pour comprendre où est le problème. Si l'on recherche le serveur Autodiscover pour l'adresse e-mail "[email protected]", le client de messagerie cherchera à effectuer l'authentification auprès des URL suivantes, jusqu'à obtenir une réponse :
Le problème, c'est que si l'authentification ne fonctionne pas sur l'une de ces 4 adresses, il y a un autre processus qui se déclenche sur certains clients de messagerie, dont Outlook. La fonction Autodiscover va essayer d'autres URL en reprenant le TLD (exemple ".fr" ou ".com") du nom de domaine de messagerie correspondant à l'adresse e-mail de l'utilisateur.
Dans l'exemple d'Amit Serper, le client de messagerie essaie de s'authentifier sur cette adresse : http://autodiscover.com/Autodiscover/Autodiscover.xml.
Cela signifie que le client de messagerie va chercher à s'authentifier sur un serveur qui n'a rien à voir avec le vôtre, et qui n'a rien à voir avec votre domaine de messagerie. Comme les identifiants sont envoyés dans la requête, cela peut permettre à la personne qui gère le domaine "autodiscover.<tld>" de les récupérer.
Pour mener ses tests jusqu'au bout, Guardicore a enregistré plusieurs noms de domaine (autodiscover.fr, autodiscover.es, autodiscover.online, etc.) et mis en place des serveurs Web. Résultat : l'entreprise a pu collecter près de 100 000 couples identifiants et mots de passe Exchange, et donc des identifiants de comptes Windows (Active Directory). Au total, ces serveurs ont reçu près de 650 000 requêtes HTTP.
Cela est possible, car les identifiants sont envoyés via la méthode d'authentification Basic, ce qui permet de déchiffrer facilement les données (adresse e-mail et mot de passe). Certains clients de messagerie, dont Outlook, utilisent OAuth et NTLM pour envoyer les identifiants. En théorie, cela complique la tâche sauf que Amit Serper a créé un hack pour forcer le client à utiliser la méthode Basic.
Pour le moment, Microsoft affirme travailler sur le sujet afin d'apporter une réponse appropriée pour protéger ses clients. Ce comportement de l'Autodiscover reste un mystère.
En attendant, il est recommandé de bloquer tous les domaines "autodiscover.<tld>" au niveau de votre pare-feu ou de votre DNS, voire même du fichier hosts de votre machine (en associant l'adresse IP "127.0.0.1"). Pour cela, vous pouvez vous appuyer sur la liste créée par Guardicore et qui contient 9190 entrées ! Même si, si j'ai bien compris le principe, il suffit de bloquer les domaines TLD qui correspondent à vos domaines de messagerie.
Décidément, ces derniers mois on parle souvent d'Exchange à cause de problèmes de sécurité. Heureusement, cette fois-ci ce n'est pas tombé entre les mains des pirates.
The post Microsoft Exchange : un bug dans l’Autodiscover expose vos identifiants ! first appeared on IT-Connect.À partir du 1er octobre 2022, l'authentification Basic sera désactivée au sein d'Exchange Online, sur tous les tenants Microsoft 365 / Office 365. Grâce à cette décision, Microsoft souhaite renforcer la sécurité de ses clients.
Initialement, l'authentification Basic devait être désactivée pendant le second semestre 2021, mais Microsoft a revu ses plans à cause de la pandémie de la Covid-19.
L'authentification Basic va être désactivée sur tous les protocoles utilisés par Exchange Online. Une liste qui intègre des protocoles et certaines fonctionnalités. Voici la liste fournie par Microsoft : Exchange Web Services (EWS), Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, MAPI, RPC, SMTP AUTH et OAB. La firme de Redmond précise qu'il y a une exception puisqu'il sera possible de réactiver l'Auth Basic pour le SMTP. Pour le reste, ce ne sera pas modifiable et cela s'appliquera sur tous les tenants.
Pour réaliser de premiers essais, début 2022, Microsoft sélectionnera quelques tenants et désactivera l'Auth Basic pour tous les protocoles (sauf SMTP AUTH), pour une période comprise entre 12 à 48 heures.
À partir du 1er octobre 2022, les méthodes d'authentification modernes (Modern Auth) devront être utilisées systématiquement. Si vous utilisez le Webmail d'Outlook, vous n'avez pas d'inquiétude à avoir. Par contre, si vous utilisez Outlook dans une version un peu ancienne ou un client de messagerie qui ne supporte pas les nouvelles méthodes d'authentification, vous ne pourrez plus vous connecter. Concrètement, vous devez utiliser au minimum Outlook 2013 Service Pack 1 pour continuer à vous connecter à Microsoft 365.
Dès à présent, vous pouvez créer une stratégie Exchange Online sur votre tenant pour désactiver l'Auth Basic et vérifier si vous êtes déjà prêt à ce changement. Voir cette documentation de Microsoft.
Même si cela semblait déjà prévu, Microsoft a publié cette annonce juste après la publication de Guardicore au sujet d'un bug de sécurité dans l'Autodiscover et qui expose les identifiants des utilisateurs. Des identifiants en danger notamment à cause de l'Auth Basic qui ne sécurise pas suffisamment les identifiants.
Plus d'infos sur le site de Microsoft
The post Exchange Online – l’authentification Basic sera désactivée en octobre 2022 first appeared on IT-Connect.
FreshRSS 