PREMIER MINISTRE

S.G.D.S.N Paris, le 30 septembre 2022

Agence nationale N° CERTFR-2022-ALE-008
de la sécurité des
systèmes d'information

Affaire suivie par: CERT-FR

BULLETIN D'ALERTE DU CERT-FR

Objet: [MaJ] Multiples vulnérabilités dans Microsoft Exchange

Gestion du document

Référence CERTFR-2022-ALE-008
[MaJ] Multiples vulnérabilités dans Microsoft
Titre
Exchange
Date de la première version 30 septembre 2022
Date de la dernière version 09 novembre 2022
Source(s) Bulletin de sécurité Microsoft du 29 septembre 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)
Exécution de code arbitraire à distance
Injection de requêtes forgées côté serveur (Server-side request forgery)

Systèmes affectés
Microsoft Exchange Serveur 2013 toutes versions
Microsoft Exchange Serveur 2016 toutes versions
Microsoft Exchange Serveur 2019 toutes versions

Secrétariat général de la défense et de la sécurité nationale – ANSSI – CERT-FR

51, bd de La Tour-Maubourg Tél.: +33 1 71 75 84 68 Web: https://www.cert.ssi.gouv.fr
75700 Paris 07 SP Fax: N/A Mél: cert-fr@ssi.gouv.fr
Résumé
[Mise à jour du 09 novembre 2022] L'éditeur a publié un correctif (cf. section solution).

En date du 29 septembre 2022, Microsoft a indiqué l'existence de deux vulnérabilités, de type

zéro-jour, au sein de Windows Exchange 2013, 2016 et 2019.

Ces vulnérabilités sont les suivantes :

CVE-2022-41040 : Vulnérabilité de type injection de requêtes forgées côté serveur (

Server Side Request Forgery, SSRF) exploitable par un attaquant authentifié ;
CVE-2022-41082 : Vulnérabilité permettant à un attaquant authentifié d'exécuter du code
arbitraire à distance.

Dans le cadre d'une attaque, la CVE-2022-41040 peut permettre à un attaquant d'exploiter à

distance la CVE-2022-41082. Selon l'éditeur, ces deux vulnérabilités ne sont exploitables que si
l'attaquant est déjà authentifié. Un correctif spécifique est en cours de développement par
Microsoft.

Ces vulnérabilités doivent faire l'objet d'une prise en compte immédiate, car elles ont été
utilisées dans le cadre d'attaques ciblées. Le CERT-FR n'a pour le moment pas connaissance des
conditions ayant permis aux attaquants d'obtenir un accès authentifié sur les serveurs ciblés.

Le CERT-FR a connaissance de codes d'exploitation publics pour la CVE-2022-41040.

Le CERT-FR a connaissance d'incidents en France impliquant l'exploitation de ces

vulnérabilités.

Contournement provisoire
En attendant la publication des correctifs, le CERT-FR recommande d'appliquer immédiatement
les mesures d'atténuation proposées par Microsoft [1].

L'éditeur recommande fortement de désactiver l’accès à PowerShell à distance pour les

utilisateurs non administrateurs [3]. Le CERT-FR recommande l'application de cette contre-
mesure car il s'agit de la protection la plus efficace identifiée à ce jour. Il conviendra de tester la
configuration afin d'identifier les éventuels effets de bord sur les procédures automatisées basées
sur Powershell.

Par ailleurs, et de façon complémentaire, Microsoft a publié un code PowerShell permettant

d'appliquer les mesures d'atténuation pour la CVE-2022-41040 (réécriture de l'URL) [2]. De
plus, une mise à jour de l'outil EEMS (Exchange Emergency Mitigation Service), ainsi que des
éléments pour l'outil AMSI (AntiMalware Scan Interface) ont été proposés par Microsoft.

Le code PowerShell de Microsoft permettant d'appliquer la mesure d'atténuation via le module

URL Rewrite a été mis à jour pour renforcer son efficacité contre des variations de la requête
malveillante initialement observée [2]. Afin d'appliquer cette modification, il est nécessaire de
télécharger puis relancer ce nouveau code ou modifier directement la règle dans le module
URL Rewrite avec la valeur suivante : ".*autodiscover\.json.*Powershell.*".

Afin de prévenir tout type de coutournement de la règle "

.*autodiscover\.json.*Powershell.*" par le biais d'encodage, le CERT-FR

Page 2 / 4
rappelle qu'il faut modifier la condition d'entrée de la règle susmentionnée avec la valeur
suivante : {UrlDecode:{REQUEST_URI}}. Pour plus d'informations, veuillez-vous référer
à l'étape 10 du blog de Microsoft [1].

Le Microsoft Patch Tuesday du 11 octobre 2022 ne propose aucun correctif pour ces
vulnérabilités. Il est essentiel de maintenir l'application des contournements mentionnés ci-avant.

Détection
Le billet de blogue de l'éditeur documente quelques éléments d'aide à la détection de ces
vulnérabilités [1].

Le CERT-FR recommande de réaliser une analyse approfondie des journaux réseau des serveurs
IIS (sauvegardés par défaut dans le dossier : %SystemDrive%\inetpub\logs\LogFiles). Les
commandes suivantes permettent d'identifier une exploitation de la vulnérabilité CVE-2022-
41040 :

sur un système Windows : Get-ChildItem -Recurse -Path

<Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern
'/powershell.*autodiscover.json.*200';
sur un système Linux : cat <Path_IIS_Logs>/*.log | grep -i -e
'/powershell.*autodiscover.json.*200'.

Si une répartition de charge (load-balancing) est mise en œuvre, ces commandes doivent être
appliquées sur les journaux de chacun des nœuds. Il est possible d'identifier une exploitation
réussie de la CVE-2022-41040 si, à la suite de la première requête, une seconde requête HTTP
de type POST commençant par le motif : /PowerShell a été exécutée par le serveur. Dans ce
cas là, une analyse forensique des serveurs Exchange doit être engagée.

En cas de suspicion de compromission, les bons réflexes en cas d'intrusion sur votre système
d'information sont rappelés ici.

Solution
[Mise à jour du 09 novembre 2022] Se référer au bulletin de sécurité de l'éditeur pour
l'obtention des correctifs (cf. section Documentation [4]).

Documentation

[1] Billet de blog Microsoft du 29 septembre 2022

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
[2] Code powershell appliquant les mesures d'atténuation
https://microsoft.github.io/CSS-Exchange/Security/EOMTv2/
[3] Documentation du contrôle d'accès PowerShell à distance
https://learn.microsoft.com/en-us/powershell/exchange/control-remote-powershell-access-to-exchange-servers?view=exchange-
ps&viewFallbackFrom=exchange-ps%22%20%5Cl%20%22use-the-exchange-management-shell-to-enable-or-disable-remote-powershell-
access-for-a-user
[mise à jour] Avis CERTFR-2022-AVI-876 du 03 octobre 2022
https://www.cert.ssi.gouv.fr/avis/CERTFR-2022-AVI-876/
[4] Avis Microsoft du 08 novembre 2022
https://support.microsoft.com/fr-fr/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-november-8-
2022-kb5019758-2b3b039b-68b9-4f35-9064-6b286f495b1d
Référence CVE CVE-2022-41040
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41040
Référence CVE CVE-2022-41082
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41082

Page 3 / 4
 Les bons réflexes en cas d’intrusion sur un système d’information
https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/

Gestion détaillée du document

le 30 septembre 2022
Version initiale
le 03 octobre 2022
Mise à jour suite à l'identification de codes d'exploitation
le 04 octobre 2022
Recommandation concernant les contournements
le 05 octobre 2022
Ajout d'éléments de détection pour la CVE-2022-41040
le 07 octobre 2022
Ajout d'éléments afin d'éviter les contournements liés à l'encodage
le 07 octobre 2022
Identification d'incidents liés à l'exploitation de cette vulnérabilité.
le 11 octobre 2022
Clarification concernant les codes d'exploitation
le 12 octobre 2022
le Patch Tuesday ne propose aucun correctif. Maintenir les contournements en
place.
le 09 novembre 2022
Publication du correctif dans le cadre du Patch Tuesday du 08 novembre 2022

Conditions d’utilisation de ce document : https://www.cert.ssi.gouv.fr

Dernière version de ce document : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2022-ALE-008/

Page 4 / 4