15/11/2024

Actu Cybersécurité

Microsoft Exchange affecté par une nouvelle faille zero-day : CVE-2024-21410

Microsoft a actualisé le bulletin de sécurité associé à la faille de sécurité CVE-2024-21410. La raison ? Il s'avère que cette vulnérabilité présente dans Exchange Server a été exploitée par les pirates en tant que faille zero-day avant qu'elle ne soit patchée. Faisons le point.

La faille de sécurité CVE-2024-21410 est considérée comme étant critique puisqu'elle hérite d'un score CVSS v3.1 de 9.8 sur 10. Elle a été divulguée par Microsoft ce mardi 13 février 2024 à l'occasion de la sortie du nouveau Patch Tuesday.

En l'exploitant, un attaquant non authentifié peut élever ses privilèges en s'appuyant sur une attaque par relais NTLM ciblant un serveur Microsoft Exchange vulnérable. Cela signifie que l'attaquant va parvenir à s'authentifier auprès du serveur de messagerie en usurpant l'identité de l'utilisateur pris pour cible.

Sur son site, Microsoft explique : "Un attaquant peut cibler un client NTLM tel qu'Outlook avec une vulnérabilité de type NTLM credentials-leaking. Les informations d'identification divulguées peuvent alors être relayées contre le serveur Exchange pour obtenir des privilèges en tant que client victime et effectuer des opérations sur le serveur Exchange au nom de la victime."

Comment se protéger ?

Pour vous protéger, Microsoft a publié une nouvelle cumulative update pour Exchange Server 2019 dont l'objectif est d'activer Exchange Extended Protection for Authentication (EPA). Le fait d'activer cette fonctionnalité va vous protéger contre les attaques de type relais NTLM et man-in-the-middle, ce qui permet de bloquer les tentatives d'exploitation de cette vulnérabilité.

Sur Exchange Server 2019, le fait d'installer la mise à jour "Microsoft Exchange Server 2019 Cumulative Update 14" va permettre d'activer par défaut l'Extended Protection for Authentication, ce qui va vous protéger. Pour les versions plus anciennes, vous devez l'activer vous-même à l'aide d'un script. Mais attention, en fonction de l'usage qui est fait de l'Exchange Server, le fait d'activer cette fonctionnalité de sécurité peut avoir des effets de bords.

Voici des scripts utiles pour vous aider :

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

3 commentaires sur “Microsoft Exchange affecté par une nouvelle faille zero-day : CVE-2024-21410

  • Apparemment Exchange 2016 est touché aussi, non ?

    Répondre
    • Oui sur MSRC Exchange 2016 apparait bien comme vulnérable également mais pas encore de patch disponible !

      Répondre
  • Oui Exchange 2016 est touché aussi comme Exchange 2013. il faut activer EPA (via le script Exchange Extended Protection Management) pour combler la faille.
    Le CU14 d’Exchange 2019 active l’EPA par défaut.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.