Microsoft a publié un correctif en urgence pour les serveurs de messagerie Microsoft Exchange afin de corriger ce que l'on pourrait appeler le bug de l'an 2022. Conséquence directe de ce bug : les e-mails ne sont plus délivrés et restent dans la file d'attente.

Bienvenue en 2022 ! Alors que l'année 2021 a été compliquée pour les administrateurs de serveurs Exchange, il faut dire que l'année 2022 commence de la pire des manières. Depuis minuit, le 1er janvier 2022, les serveurs Exchange (Exchange Server 2016 et Exchange Server 2019) ne parviennent plus à envoyer les e-mails et les messages suivants sont visibles dans le journal "Application" de l'observateur d'événements du serveur :

Source: FIPFS 
Logged: 1/1/2022 1:03:42 AM 
Event ID: 5300 
Level: Error 
Computer: server1.contoso.com
Description: The FIP-FS "Microsoft" Scan Engine failed to load. PID: 23092, Error Code: 0x80004005. Error Description: Can't convert "2201010001" to long.

Source: FIPFS 
Logged: 1/1/2022 11:47:16 AM 
Event ID: 1106 
Level: Error 
Computer: server1.contoso.com 
Description: The FIP-FS Scan Process failed initialization. Error: 0x80004005. Error Details: Unspecified error.

Au sein des messages d'erreur ci-dessus, on constate la présence du code d'erreur 0x80004005.

Comment expliquer cette erreur ? Et bien, il s'avère qu'Exchange vérifie la version du moteur d'analyse antivirus FIP-FS et tente de stocker la date dans une variable int32 signée. Le problème, c'est que cette variable a une limite et sa valeur ne peut pas dépasser "2 147 483 647" sauf que la valeur correspondante au 1er janvier 2022 à minuit est "2 201 010 001".

Lorsqu'une analyse est déclenchée sur un message électronique, le moteur d'analyse va planter à cause de cette variable qui contient une valeur incorrecte. Étant donné que l'analyse n'est pas effectuée, l'e-mail reste dans la file d'attente.

Compte tenu de l'urgence de la situation, Microsoft a publié un correctif temporaire sous la forme d'un script PowerShell nommé "Reset-ScanEngineVersion.ps1". L'objectif de ce script est de réaliser les actions suivantes :

• Arrêter les services Microsoft Filtering Management et Microsoft Exchange Transport
• Supprimer les fichiers du moteur d'analyse antivirus
• Télécharger une nouvelle version du moteur d'analyse antivirus sur le serveur (version 2112330001)
• Démarrer les services arrêtés précédemment

Ce script doit être exécuté sur chaque serveur Exchange on-premise et vous pouvez le télécharger à cette adresse : https://aka.ms/ResetScanEngineVersion

Pour en savoir plus sur l'utilisation de ce script ou effectuer l'opération manuellement, je vous recommande de lire cet article publié par Microsoft : Exchange - Erreur FIP-FS.

Après avoir appliqué ce correctif, les e-mails seront expédiés et la file d'attente sera donc vidée au fur et à mesure. Bien entendu, cela peut prendre du temps en fonction de la quantité de messages en attente.

Bon courage !

Source

The post Microsoft Exchange et le bug de l’an 2022 ! first appeared on IT-Connect.

Kaspersky a découvert qu’un nouveau module IIS (un logiciel censé fournir des fonctions supplémentaires aux serveurs Web Microsoft) vole les identifiants saisis lors d’une connexion à Outlook Web Access (OWA). Baptisé Owowa, ce module précédemment inconnu a été compilé entre fin 2020 et avril 2021. Il permet également aux attaquants d’accéder à distance au serveur […]

The post Hidden parasite : Kaspersky découvre une extension de Microsoft Exchange qui dérobe les identifiants des utilisateurs first appeared on UnderNews.

A challenge for businesses supporting the hybrid workforce and cloud environments is recovering data that has been accidentally or intentionally deleted. Let's look at processes to recover recently deleted emails and emails that have aged past the 30-day threshold for deletions.

The post Recover deleted emails in Microsoft 365 first appeared on 4sysops.

Afin de voler des identifiants de messagerie, des pirates informatiques installent un module nommé "Owowa" sur le serveur Web IIS associé au serveur Outlook Web Access. Ce module permet également d'exécuter des commandes à distance sur le serveur.

D'après les informations collectées sur le site VirusTotal, le module malveillant "Owowa" serait en circulation depuis 2020. La version la plus récente serait sortie en avril 2021, selon les données de télémétrie récoltées par Kaspersky.

Pour le moment, la France ne semble pas ciblée puisque les attaques concernent des serveurs basés en Asie : en Malaisie, Mongolie, Indonésie et aux Philippines. Plus précisément, ce sont des serveurs de messagerie appartenant à des organisations gouvernementales et des entreprises de transport public qui sont ciblées.

Depuis plusieurs mois, les serveurs de messagerie Microsoft Exchange représentent la cible idéale suite à la publication de plusieurs failles de sécurité critiques et exploitables à distance, notamment les failles ProxyLogon. Grâce à ce module IIS, les pirates peuvent déposer une porte dérobée persistante et difficile à détecter. C'est en envoyant une requête sur le Webmail du serveur Exchange (OWA) que le module "Owowa" parvient à réceptionner et exécuter la commande en toute discrétion.

Le module Owowa est capable de récolter les identifiants des utilisateurs qui s'authentifient sur le webmail Outlook Web Access. Lorsqu'un token d'authentification est généré par OWA, cela signifie que l'authentification est réussie, donc c'est à ce moment-là que le module malveillant récupère les informations. Plus précisément, le module Owowa récupère le nom d'utilisateur, le mot de passe, l'adresse IP de l'utilisateur, ainsi que la date et l'heure. Ensuite, le pirate n'a plus qu'à récupérer les informations collectées par le module Owowa.

En complément, l'attaquant peut exécuter des commandes à distance sur le serveur, notamment en s'appuyant sur PowerShell, toujours via le module Owowa.

Au sein de la console IIS, le module malveillant n'est pas forcément nommé "Owowa" mais plutôt "ExtenderControlDesigner" au sein du site "OWA" (correspondant à Outlook Web Access), comme vous pouvez le voir sur l'image ci-dessous.

Source

The post Microsoft Exchange : les pirates volent des identifiants avec un module IIS first appeared on IT-Connect.

Bulletin d’actualité du 15/11/2021 Nous voici de nouveau ensemble dans notre rendez-vous de fin de semaine pour revenir sur les différents bulletins de sécurité publiés par le CERT-FR ! Durant la période du 1er novembre au 7 novembre 2021, le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques en France) a …

L’article Bulletin d’actualité du CERT-FR – 15/11/2021 est apparu en premier sur Tech2Tech | News, Astuces, Tutos, Vidéos autour de l'informatique.

Migrating on-premises Exchange to Microsoft Office 365 can be filled with challenges. CodeTwo Office 365 Migration helps to automate the Office 365 migration process.

The post CodeTwo Office 365 Migration: Move on-premises Exchange to Microsoft 365 first appeared on 4sysops.

CU22 and CU11 for Exchange 2016 and 2019 install the new Emergency Mitigation (EM) function. It is intended to implement immediate measures automatically when critical vulnerabilities occur. These can reduce the threat but can also deactivate Exchange features.

The post Exchange 2016/2019: Install and configure Emergency Mitigation Service first appeared on 4sysops.

Derrière le nom CVE-2021-42321, se cache une faille critique qui touche les serveurs de messagerie Microsoft Exchange, et comme les failles ProxyShell et ProxyLogon, elle pourrait faire parler d'elle.

Si vous avez un serveur de messagerie sous Microsoft Exchange 2016 ou Exchange 2019, vous devriez lire cet article avec une attention particulière. Exchange est victime d'une nouvelle faille de sécurité qui permet à un attaquant authentifié d'exécuter du code à distance sur votre serveur, d'après les informations publiées par Microsoft sur le site TechCommunity. Cette vulnérabilité affecte les serveurs on-premise et les serveurs Exchange en mode hybride. et elle est déjà exploitée par les hackers dans le cadre de cyberattaques.

Se protéger contre les failles Exchange de novembre 2021

Pour protéger votre serveur de messagerie, Microsoft a précisé qu'il y a deux chemins de mises à jour possibles, selon la version actuelle de votre serveur Exchange. Vous devez avoir un serveur Exchange avec un CU spécifique afin de pouvoir installer la mise à jour de sécurité de novembre 2021.

Au sein du Patch Tuesday de novembre 2021, Microsoft a corrigé plusieurs failles pour Exchange, y compris pour Exchange 2013 d'où sa présence dans le schéma ci-dessus. La firme de Redmond vous recommande de mettre à jour votre serveur de messagerie au plus vite.

Mon serveur Exchange est-il ciblé ?

À l'instant t, il est possible de savoir s'il y a eu une tentative d'exploitation de ces nouvelles failles sur votre serveur Exchange. Pour cela, vous pouvez dégainer la console PowerShell et exécuter la commande suivante pour analyser les journaux de votre serveur :

Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }

Si la commande vous retourne un ou plusieurs résultats, ce n'est pas bon signe et vous devez approfondir les recherches sur votre serveur Exchange.

Par ailleurs, souvenez-vous que le mois dernier Microsoft a annoncé la mise en ligne d'un nouveau module pour Exchange baptisé "Microsoft Exchange Emergency Mitigation" (EM). Microsoft Exchange Emergency Mitigation permet d'appliquer sur votre serveur de messagerie les mesures d'atténuation, de protection, lorsqu'une nouvelle faille critique voit le jour, en attendant l'installation du correctif. Pour la faille CVE-2021-42321, Microsoft n'a pas précisé si ce nouveau module était en mesure de réagir pour protéger vos serveurs en attendant l'installation du patch, c'est dommage.

• Portail Microsoft - CVE-2021-42321

The post CVE-2021-42321 : la nouvelle faille critique qui touche Microsoft Exchange ! first appeared on IT-Connect.

Le Patch Tuesday de novembre 2021 est disponible ! Ce mois-ci, Microsoft a corrigé 55 vulnérabilités, dont 6 considérées comme critiques et 6 failles zero-day.

Si l'on tri les 55 failles de sécurité de ce mois-ci par type, on se rend compte qu'il y en a 20 qui correspondent à des failles de type "élévation de privilèges". À titre de comparaison, le mois dernier il y avait 21 failles de type élévation de privilèges, mais il y avait plus de 80 vulnérabilités corrigées. Par ailleurs, il y a 15 failles de type "exécution de code à distance" et 10 qui permettent la divulgation d'informations.

Parmi les produits Microsoft concernés par ce Patch Tuesday, nous avons : Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge, Exchange Server par trois fois, la suite Office (Excel, Word, Access), Hyper-V, l'Active Directory par 4 fois, Windows Hello, le NTFS, et le noyau Windows.

Six failles zero-day : Excel et Exchange dans le viseur

Ce mois-ci, il faut porter son attention sur les 6 failles zero-day et plus particulièrement deux d'entre-elles qui sont activement exploitées par les pirates. Il y a une faille qui touche Excel et la seconde Exchange, une fois de plus.

• CVE-2021-42292 - Microsoft Excel : bypass d'une fonctionnalité de sécurité
• CVE-2021-42321 - Microsoft Exchange : exécution de code à distance

La faille CVE-2021-42321 qui touche les serveurs de messagerie Microsoft Exchange est particulièrement inquiétante, car elle permet une exécution de code à distance post-authentification. Elle a été découverte lors de la compétition de hacking Tianfu Cup qui s'est déroulée le mois dernier. Pour en savoir plus sur cette faille, lisez cet article.

Quant à la faille dans Excel, c'est l'équipe de Microsoft Threat Intelligence Center qui en a fait la découverte et il s'avère qu'elle est déjà utilisée dans le cadre d'attaque. Dès à présent, Microsoft Office bénéficie d'un correctif pour vous protéger contre cette faille de sécurité, mais ce correctif n'est pas encore disponible pour Office sur macOS.

Concernant les autres failles zero-day qui ne sont pas encore utilisées dans le cadre d'attaques, voici la liste ci-dessous :

• CVE-2021-38631 - Protocole RDP : divulgation d'informations
• CVE-2021-41371 - Protocole RDP : divulgation d'informations
• CVE-2021-43208 : Visionneuse 3D : exécution de code à distance
• CVE-2021-43209 - Visionneuse 3D : exécution de code à distance

Il est à noter que les failles au sein du protocole RDP touchent toutes les versions de Windows, y compris les plus récentes : Windows 10, Windows 11, Windows Server 2022, etc... Y compris les installations en mode "Core".

Source

The post Patch Tuesday – Novembre 2021 : 55 vulnérabilités corrigées et 6 zero-day first appeared on IT-Connect.