Exploit zero day Exchange du 3 Mars 2021

Que vous soyez client de Kyos ou non, considérant la criticité de cette faille, nous vous proposons gratuitement de réaliser une investigation primaire de votre serveur Exchange, afin de déterminer s’il est toujours vulnérable, ainsi qu’identifier si de potentielles attaques ont eu lieu, ce que nous savons très probable. En effet même si les serveurs Exchange de Kyos n’ont pas été affectés, 50% de nos clients possédant un serveur Exchange on-premise ont été impactés, malgré l’application du correctif que nous avons réalisé le jour même.

 

Quelle vulnérabilité technique a été exploitée ?

Dans la soirée du mardi 2 Mars 2021, Microsoft a annoncé quatre vulnérabilités sur le système de Messagerie Microsoft Exchange : CVE-2021-26855CVE-2021-26857CVE-2021-26858 et CVE-2021-27065.

Ces vulnérabilités permettent aux attaquants d’obtenir un accès au serveur Exchange sans authentification via lequel il est possible de lancer du code malveillant, afin de récupérer des informations ou potentiellement installer un programme permettant un accès ultérieur au serveur.

Comment avons-nous mis en place les correctifs chez nos clients ?

Microsoft a immédiatement préparé un correctif à installer sur les serveurs concernés par la faille. Cette mise à jour a aussitôt été testée mercredi après-midi par nos équipes techniques afin d’anticiper les risques sur les infrastructures de nos clients, puis elle a été installée sur les serveurs d’une dizaine de nos clients concernés.

Pourquoi il est nécessaire d’investiguer les attaques potentielles ?

Dès mercredi soir, la quasi-totalité des serveurs de nos clients étaient protégés, mais il restait essentiel de savoir s’ils ont été ciblés par des attaques qui pourraient les avoir compromis. Pour ce faire, Microsoft a publié un programme permettant d’obtenir des indicateurs d’attaque et de compromission. Nous avons exécuté ce programme d’investigation sur l’ensemble des serveurs Exchange : 7 serveurs sur 13 de notre parc géré ont été identifiés comme potentiellement attaqués et donc potentiellement compromis. L’investigation manuelle que nous avons mené dès jeudi soir a confirmé que chacun de ces 7 serveurs ont été attaqués.

Nous observons la rapidité fulgurante de l’attaque en constatant que celle-ci avait déjà commencé le mercredi matin assez tôt, jour où nous prenions connaissance de la vulnérabilité par les canaux de communication officiels de Microsoft.

Une compromission avérée est trouvée sur deux serveurs et nous avons trouvé des preuves d’exploitation des vulnérabilités sur les cinq autres serveurs (POST /ecp/y.jc tel que présenté ci-dessus, dont le code « 200 » valide le succès de l’exécution de code).

Nous avons pris la décision de considérer les serveurs présentant ces signes comme compromis, car il n’est pas possible de prouver ce qui a été exécuté par l’attaquant.

Nous avons ainsi immédiatement décidé de la marche à suivre : le remplacement des serveurs Exchange présentant cette preuve d’exécution de code est nécessaire, afin d’écarter tout risque de sécurité lié à la potentielle installation de backdoor. A l’heure où nous écrivons ces lignes, ce travail a été accompli pour la quasi-totalité de nos clients concernés et est en cours de finalisation pour les derniers.

Quel impact pour vous notamment en termes de fuite de données ?

L’ensemble des investigations que nous avons réalisées à ce jour montrent trois informations essentielles :

  • Une recherche de fuite de donnée primaire a été réalisée sur les serveurs présentant une compromission avérée, aucune trace assimilable à des fuites d’information n’a été trouvée au cours des investigations menées. Une investigation additionnelle plus avancée est conseillée pour valider l’exfiltration de données sur votre serveur.
  • Les investigations que nous avons réalisées sur le serveur de Kyos montrent que notre système de messagerie n’a pas été attaqué, ni compromis ce qui nous permet d’affirmer qu’aucune fuite de données n’a eu lieu.
  • Tous les scénarios d’attaques que nous avons investigués jusqu’ici indiquent que la compromission est locale au serveur Exchange et écarte pour le moment une compromission plus vaste (e.g. sur d’autres serveurs exécutant d’autre rôles au sein de l’organisation).

Nos consultants systèmes et notre équipe d’auditeur sécurité restent en alerte. Notre position ci-dessus sera réévaluée dans les jours à venir, au cours des prochaines investigations et au fil des informations reçues de Microsoft. Cet article sera mis à jour selon les potentielles découvertes que nous réaliserons.

Que devez-vous faire ?

Si cela n’est pas encore fait, il est urgent d’appliquer le correctif sur votre serveur Exchange :
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

Si cela est impossible (cumulative update trop ancienne par exemple), il est fortement conseillé de fermer les accès externes au serveur de messagerie si cela est possible.

Lors des investigations manuelles, nous avions également limité les risques avec la fermeture des flux entrants / sortants en provenance et à destination de toutes les adresses IP des attaquants, afin d’empêcher les potentielles interactions qui pourraient intervenir dans le cas où une backdoor aurait été déployée. Même si cette mesure peut être contournée par les attaquants, elle peut avoir un effet décourageant vous permettant de gagner du temps, et pouvant les orienter sur d’autres cibles.

 

Contactez-nous sur helpdesk@kyos.ch ou au 022 734 78 88 pour toute demande d’investigation ou si vous souhaitez plus d’information au sujet de ces vulnérabilités.