Académique Documents
Professionnel Documents
Culture Documents
Certfr 2022 Ale 008
Certfr 2022 Ale 008
Gestion du document
Référence CERTFR-2022-ALE-008
[MaJ] Multiples vulnérabilités dans Microsoft
Titre
Exchange
Date de la première version 30 septembre 2022
Date de la dernière version 09 novembre 2022
Source(s) Bulletin de sécurité Microsoft du 29 septembre 2022
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document
Risque(s)
Exécution de code arbitraire à distance
Injection de requêtes forgées côté serveur (Server-side request forgery)
Systèmes affectés
Microsoft Exchange Serveur 2013 toutes versions
Microsoft Exchange Serveur 2016 toutes versions
Microsoft Exchange Serveur 2019 toutes versions
Ces vulnérabilités doivent faire l'objet d'une prise en compte immédiate, car elles ont été
utilisées dans le cadre d'attaques ciblées. Le CERT-FR n'a pour le moment pas connaissance des
conditions ayant permis aux attaquants d'obtenir un accès authentifié sur les serveurs ciblés.
Contournement provisoire
En attendant la publication des correctifs, le CERT-FR recommande d'appliquer immédiatement
les mesures d'atténuation proposées par Microsoft [1].
Page 2 / 4
rappelle qu'il faut modifier la condition d'entrée de la règle susmentionnée avec la valeur
suivante : {UrlDecode:{REQUEST_URI}}. Pour plus d'informations, veuillez-vous référer
à l'étape 10 du blog de Microsoft [1].
Le Microsoft Patch Tuesday du 11 octobre 2022 ne propose aucun correctif pour ces
vulnérabilités. Il est essentiel de maintenir l'application des contournements mentionnés ci-avant.
Détection
Le billet de blogue de l'éditeur documente quelques éléments d'aide à la détection de ces
vulnérabilités [1].
Le CERT-FR recommande de réaliser une analyse approfondie des journaux réseau des serveurs
IIS (sauvegardés par défaut dans le dossier : %SystemDrive%\inetpub\logs\LogFiles). Les
commandes suivantes permettent d'identifier une exploitation de la vulnérabilité CVE-2022-
41040 :
Si une répartition de charge (load-balancing) est mise en œuvre, ces commandes doivent être
appliquées sur les journaux de chacun des nœuds. Il est possible d'identifier une exploitation
réussie de la CVE-2022-41040 si, à la suite de la première requête, une seconde requête HTTP
de type POST commençant par le motif : /PowerShell a été exécutée par le serveur. Dans ce
cas là, une analyse forensique des serveurs Exchange doit être engagée.
En cas de suspicion de compromission, les bons réflexes en cas d'intrusion sur votre système
d'information sont rappelés ici.
Solution
[Mise à jour du 09 novembre 2022] Se référer au bulletin de sécurité de l'éditeur pour
l'obtention des correctifs (cf. section Documentation [4]).
Documentation
Page 3 / 4
Les bons réflexes en cas d’intrusion sur un système d’information
https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
Page 4 / 4