Microsoft Exchange / 2 Mars 2021 / HAFNIUM targeting Exchange Servers / Q&A



Ci-joint quelques questions réponses à propos de la faille de sécurité.

Q : Ces vulnérabilités affectent-elles Exchange Online ?

A : Non. Les clients qui utilisent Exchange Online ne sont pas affectés par ces vulnérabilités.

Q : Quelle est la gravité maximale, l’impact et le score de base CVSS de ces vulnérabilités ?

A : L’ensemble des vulnérabilités comprend les vulnérabilités de type « Remote Code Execution » dont la gravité est jugée critique. Le score CVSS de base le plus élevé dans l’ensemble est de 9,1.

Q : Les vulnérabilités affectant le serveur Exchange étaient-elles connues pour avoir été exploitées dans la nature ?

A : Oui. Microsoft est conscient du nombre limité d’attaques ciblées contre les serveurs Exchange dans ses locaux par un acteur de l’Etat nation qui exploite quatre des vulnérabilités d’Exchange discutées dans ce communiqué.

Q : Combien de vulnérabilités des serveurs Exchange sont corrigées dans cette version ?

A : La version de mise à jour de sécurité contient des corrections pour sept vulnérabilités de sécurité affectant le serveur Exchange. Parmi celles-ci, quatre vulnérabilités sont connues pour avoir été utilisées dans des attaques limitées et ciblées contre des Serveurs Exchange sur site.

Q : Dois-je faire un travail de préparation avec mes serveurs Exchange pour qu’ils soient prêts pour ces nouvelles mises à jour de sécurité ?

A : Microsoft fournit un support pour les deux dernières mises à jour cumulatives (CU) pour Exchange Server 2016 et Exchange Server 2019. M icr osoft fournit le support pour les dernières mises à jour cumulées (UR) pour Exchange Server, 2010 et Exchange Server 2013. Les serveurs d’échange utilisant une UR ou une CU prise en charge sont considérés comme étant à jour. Tout serveur Exchange qui n’est pas à jour devra avoir une UR ou CU supportée installée avant vous pouvez installer toute nouvelle mise à jour de sécurité. Les administrateurs d’Exchange doivent tenir compte du temps supplémentaire nécessaire pour mettre à jour les serveurs Exchange obsolètes.

Q : Y a-t-il une méthode que je peux utiliser pour déterminer lequel de mes serveurs Exchange peut installer directement les mises à jour de sécurité, et lequel devra avoir une UR ou CU prise en charge installée en premier ?

A : Oui. Vous pouvez utiliser le script Exchange Server Health Checker, qui peut être téléchargé sur GitHub (utilisez la dernière version). L’exécution de ce script vous indiquera si vous êtes en retard sur votre Exchange sur site.

Q : Dois-je donner la priorité à des serveurs Exchange spécifiques (certains serveurs Exchange sont-ils plus à risque) ?

A :: Oui. Aux serveurs Exchange exposés sur internet (par exemple, les serveurs publiant Outlook sur le web/OWA et sont à un risque accru et ceux-ci devraient être mis à jour en premier lieu.

Q : Existe-t-il des solutions de contournement pour ces vulnérabilités ?

A : Ces vulnérabilités sont utilisées dans le cadre d’une chaîne d’attaque. L’attaque initiale nécessite la capacité d’établir une connexion non fiable au port 443 du serveur Exchange. Il est possible de s’en protéger en limitant des connexions non fiables, ou en mettant en place un VPN pour séparer le serveur Exchange de l’accès externe. L’utilisation de cette mesure d’atténuation ne protégera que la partie initiale de l’attaque ; les autres parties de la chaîne peuvent être déclenchée si un attaquant y a déjà accès ou peut convaincre un administrateur d’exécuter un fichier malveillant.

Q : Comment puis-je vérifier si l’un de mes serveurs Exchange a été compromis par l’une de ces vulnérabilités ?

A : L’article du blog du Microsoft Threat Intelligence Center (MSTIC) cité ci-dessous fournit des conseils techniques que les services de sécurité spéciaux peuvent utiliser pour rechercher les intrusions qui pourraient avoir impliqué l’une de ces vulnérabilités vulnérabilités.

Q : Ces vulnérabilités affectant le serveur Exchange étaient-elles liées aux récentes attaques qui ont eu un impact sur SolarWinds ?

A : Non. Nous n’avons pas connaissance d’un lien entre ces vulnérabilités affectant le serveur Exchange et les récentes attaques contre SolarWinds.

Q : Où puis-je trouver les informations les plus fiables sur ces vulnérabilités du serveur Exchange ?

A : Les meilleures ressources pour les détails techniques sur les vulnérabilités sont les pages CVE et le post du blog MSTIC .

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s