Alerte - Vulnérabilités du jour zéro de Microsoft Exchange - Mise à jour 1

Numéro : AL22-011
Date : 30 septembre 2022
Mise à jour : 9 novembre 2022

Auditoire

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. et d’atténuation. Le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 29 septembre 2022, Microsoft a publié un bulletin confirmant l’existence de vulnérabilités touchant Microsoft Exchange^{Note de bas de page 1}. Les vulnérabilités, signalées initialement par GTSC Vietnam Technology Services^{Note de bas de page 2}, peuvent être exploitées uniquement par un utilisateur authentifié. Microsoft signale que la première vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. , soit CVE-2022-41040, est une vulnérabilité de falsification de requête côté serveur (SSRF pour Server-Side Request Forgery), tandis que la deuxième vulnérabilité, soit CVE-2022-41082, permet l’exécution de code à distance lorsque l’auteur malveillant a accès à PowerShell.

GTSC a précisé que des auteurs malveillants ont exploité ces vulnérabilités, ce qui a mené au déploiement de code encoquillé, à la divulgation d’information, à l’exécution de commandes et à des déplacements latéraux.

Mise à jour 1

Le 8 novembre 2022, des correctifs pour les vulnérabilités CVE-2022-41040 ^{Note de bas de page 5} et CVE-2022-41082 ^{Note de bas de page 6} ont été publiés dans les mises à jour de sécurité de novembre 2022 ^{Note de bas de page 7}.

Mesures recommandées

Microsoft a déclaré que des correctifs sont en train d’être conçus, mais que les mesures d’atténuation recommandées, telles que celles fournies par GTSC, permettent de bloquer les activités malveillantes. Ces recommandations sont incluses dans les bulletins de Microsoft et de GTSC^{Note de bas de page 1Note de bas de page 2Note de bas de page 4}.

À la suite de son intervention en cas d’incident IncidentIncident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur. , GTSC a dressé une liste d’indicateurs de compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. (IC) pour aider les responsables de la défense réseau à détecter les activités malveillantes. Le Centre pour la cybersécurité recommande aux clients touchés de passer en revue son bulletin de cybersécurité conjoint sur les approches techniques à la détection et à l’atténuation des activités malveillantes^{Note de bas de page 3}.

Il recommande également aux clients d’Exchange de continuer à surveiller la page Web contenant les bulletins de Microsoft et de mettre à jour les systèmes dès qu’un correctif est disponible.

S’ils relèvent des activités similaires aux informations fournies dans la présente alerte, les destinataires sont invités à le signaler par l’entremise de Mon cyberportail ou à communiquer avec le Centre pour la cybersécurité par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).