4 nouvelles zero-day dans Microsoft Exchange permettant l’exécution de code et le vol d’informations
Microsoft Exchange est affecté par un ensemble de 4 nouvelles failles de sécurité zero-day, que les pirates peuvent exploiter pour exécuter du code à distance sur le serveur ou récupérer des informations sensibles sur les serveurs de messageries affectés. Faisons le point sur cette menace.
Après avoir signalé ces vulnérabilités à Microsoft les 7 et 8 septembre 2023, la Zero Day Initiative (ZDI) de Trend Micro a décidé de divulguer ces vulnérabilités alors qu'il n'existe pas encore de patch de sécurité ! Pourquoi ?
Microsoft, suite à l'analyse effectuée par ses ingénieurs en sécurité, a estimé que ces vulnérabilités n'étaient pas suffisamment graves pour être corrigées immédiatement. Ceci n'a pas plus à la ZDI qui a donc pris la décision de divulguer des informations sur ces failles de sécurité zero-day.
Voici ce que l'on sait sur les nouvelles failles dans Microsoft Exchange :
- ZDI-23-1578 - Une faille de sécurité de type "exécution de code à distance" liée à une faiblesse présente dans la classe "ChainedSerializationBinder" à cause d'un problème de validation des données de l'utilisateur. En parvenant à exploiter ces vulnérabilités, un attaquant à distance peut exécuter du code arbitraire en bénéficiant des droits "SYSTEM" sur la machine Windows. Pour rappel, il s'agit du niveau de privilèges le plus élevé sur Windows.
- ZDI-23-1579 - Une faille de sécurité située dans la méthode "DownloadDataFromUri'" liée à une validation insuffisante de la syntaxe d'un URI avant l'accès à une ressource. En exploitant cette vulnérabilité, les attaquants peuvent accéder à des informations sensibles stockées sur le serveur Exchange (nous ne savons pas lesquelles)
- ZDI-23-1580 - Une faille de sécurité présente dans la méthode "DownloadDataFromOfficeMarketPlace" pouvant mener également à la divulgation d'informations sur le serveur Exchange.
- ZDI-23-1581 - Une faille de sécurité présente dans la méthode "CreateAttachmentFromUri", liée elle aussi à une validation insuffisante de la syntaxe d'un URI pouvant mener à la divulgation d'informations sensibles.
La faille de sécurité permettant une exécution de code à distance est associée à un score CVSS de 7.5 sur 10, tandis que les trois autres vulnérabilités ont un score CVSS de 7.1 sur 10. Précision importante pour l'exploitation de chacune de ces vulnérabilités, il y a un prérequis non négligeable : l'attaquant doit être authentifié (à un compte de messagerie). Suffisant pour pousser Microsoft à ne pas traiter ces vulnérabilités en priorité ? Peut-être.
D'ailleurs, suite à la divulgation de ces informations par la ZDI, Microsoft a indiqué que la faille de sécurité liée au bulletin ZDI-23-1578 avait déjà reçu un correctif grâce à la mise à jour de sécurité d'août 2023.
Le Patch Tuesday de novembre 2023 sera disponible dans quelques jours donc nous verrons si, finalement, il y a des correctifs pour ces vulnérabilités.
