16/12/2024

Actu CybersécuritéLogiciel - OS

4 nouvelles zero-day dans Microsoft Exchange permettant l’exécution de code et le vol d’informations

Microsoft Exchange est affecté par un ensemble de 4 nouvelles failles de sécurité zero-day, que les pirates peuvent exploiter pour exécuter du code à distance sur le serveur ou récupérer des informations sensibles sur les serveurs de messageries affectés. Faisons le point sur cette menace.

Après avoir signalé ces vulnérabilités à Microsoft les 7 et 8 septembre 2023, la Zero Day Initiative (ZDI) de Trend Micro a décidé de divulguer ces vulnérabilités alors qu'il n'existe pas encore de patch de sécurité ! Pourquoi ?

Microsoft, suite à l'analyse effectuée par ses ingénieurs en sécurité, a estimé que ces vulnérabilités n'étaient pas suffisamment graves pour être corrigées immédiatement. Ceci n'a pas plus à la ZDI qui a donc pris la décision de divulguer des informations sur ces failles de sécurité zero-day.

Voici ce que l'on sait sur les nouvelles failles dans Microsoft Exchange :

  • ZDI-23-1578 - Une faille de sécurité de type "exécution de code à distance" liée à une faiblesse présente dans la classe "ChainedSerializationBinder" à cause d'un problème de validation des données de l'utilisateur. En parvenant à exploiter ces vulnérabilités, un attaquant à distance peut exécuter du code arbitraire en bénéficiant des droits "SYSTEM" sur la machine Windows. Pour rappel, il s'agit du niveau de privilèges le plus élevé sur Windows.
  • ZDI-23-1579 - Une faille de sécurité située dans la méthode "DownloadDataFromUri'" liée à une validation insuffisante de la syntaxe d'un URI avant l'accès à une ressource. En exploitant cette vulnérabilité, les attaquants peuvent accéder à des informations sensibles stockées sur le serveur Exchange (nous ne savons pas lesquelles)
  • ZDI-23-1580 - Une faille de sécurité présente dans la méthode "DownloadDataFromOfficeMarketPlace" pouvant mener également à la divulgation d'informations sur le serveur Exchange.
  • ZDI-23-1581 - Une faille de sécurité présente dans la méthode "CreateAttachmentFromUri", liée elle aussi à une validation insuffisante de la syntaxe d'un URI pouvant mener à la divulgation d'informations sensibles.

La faille de sécurité permettant une exécution de code à distance est associée à un score CVSS de 7.5 sur 10, tandis que les trois autres vulnérabilités ont un score CVSS de 7.1 sur 10. Précision importante pour l'exploitation de chacune de ces vulnérabilités, il y a un prérequis non négligeable : l'attaquant doit être authentifié (à un compte de messagerie). Suffisant pour pousser Microsoft à ne pas traiter ces vulnérabilités en priorité ? Peut-être.

D'ailleurs, suite à la divulgation de ces informations par la ZDI, Microsoft a indiqué que la faille de sécurité liée au bulletin ZDI-23-1578 avait déjà reçu un correctif grâce à la mise à jour de sécurité d'août 2023.

Le Patch Tuesday de novembre 2023 sera disponible dans quelques jours donc nous verrons si, finalement, il y a des correctifs pour ces vulnérabilités.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.