Même si cela ne fait que quelques mois depuis l'attaque déjà célèbre contre la chaîne d'approvisionnement de SolarWinds, nous devons encore une fois écrire sur un autre problème de piratage, cette fois lié à Microsoft Exchange Server.
Dans ce cas, le Vulnérabilités du jour zéro trouvés dans Microsoft Exchange Server 2013, 2016 et 2019 permettent à un attaquant de les exploiter avec un impact sur plusieurs organisations et entreprises dotées de serveurs Exchange sur site qui permettent l'accès aux comptes de messagerie et même l'installation de logiciels malveillants pour permettre un accès à long terme à ces serveurs. . Microsoft a détecté les attaques du groupe Hafnium, mais d'autres auraient pu utiliser ces exploits 0-day maintenant que les attaques sont devenues publiques.
Ces vulnérabilités ont été enregistrées et documentées avec les codes CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065, et toutes ces vulnérabilités sont des adresses, des mises à jour urgentes sont donc fortement recommandées aux clients. .
Si vous êtes préoccupé par ces attaques, nous vous recommandons de mettre en œuvre une solution haute disponibilité ainsi qu'un pare-feu d'application Web afin de les atténuer, comme la solution Reliianoid. Si la mise à jour d'Exchange Server n'est pas possible, Microsoft recommande de mettre en œuvre les mesures d'atténuation suivantes :
1. Atténuation des utilisateurs de confiance: Accès aux serveurs Microsoft Exchange pour les utilisateurs de confiance uniquement via le service VPN.
2. Atténuation des cookies backend: Implémentez une règle de pare-feu d'application Web pour filtrer les requêtes HTTPS malveillantes à l'aide de X-AnonResource-Backend et de cookies X-BEResource malformés dans les en-têtes utilisés dans les attaques SSRF.
3. Atténuation de la messagerie unifiée: Désactiver la messagerie unifiée
4. Atténuation du panneau de configuration Exchange: Désactiver ECP VDir
5. Atténuation du carnet d'adresses hors ligne: Désactiver OAB VDir
At RELIANOID, nous avons travaillé pour les mettre en œuvre très facilement via le module WAF et de tout nouveaux services VPN. En outre, une haute disponibilité, une sécurité supplémentaire et un équilibrage de charge pour les serveurs Exchange peuvent être implémentés avec RELIANOID:
Ne doutez pas de contactez-nous. pour avoir plus de détails sur la façon de mettre en œuvre ces atténuations!
Articles de blog associés
