Contournement provisoire

En attendant la publication des correctifs, le CERT-FR recommanded'appliquer immédiatement les mesures d'atténuation proposées parMicrosoft [1].

L'éditeur recommande fortement de désactiver l’accès à PowerShell àdistance pour les utilisateurs non administrateurs [3]. Le CERT-FRrecommande l'application de cette contre-mesure car il s'agit de laprotection la plus efficace identifiée à ce jour. Il conviendrade tester la configuration afin d'identifier les éventuels effets debord sur les procédures automatisées basées sur Powershell.

Par ailleurs, et de façon complémentaire, Microsoft a publié un codePowerShell permettant d'appliquer les mesures d'atténuation pour laCVE-2022-41040 (réécriture de l'URL) [2]. De plus, une mise à jour del'outil EEMS (Exchange Emergency Mitigation Service), ainsi que deséléments pour l'outil AMSI (AntiMalware Scan Interface) ont étéproposés par Microsoft.

Le code PowerShell de Microsoft permettant d'appliquer la mesured'atténuation via le module URL Rewrite a été mis à jour pourrenforcer son efficacité contre des variations de la requêtemalveillante initialement observée [2]. Afin d'appliquer cettemodification, il est nécessaire de télécharger puis relancer ce nouveaucode ou modifier directement la règle dans le module URL Rewrite avecla valeur suivante : ".*autodiscover\.json.*Powershell.*".

Afin de prévenir tout type de coutournement de la règle".*autodiscover\.json.*Powershell.*" par le biais d'encodage, leCERT-FR rappelle qu'il faut modifier la condition d'entrée de la règlesusmentionnée avec la valeur suivante :  {UrlDecode:{REQUEST_URI}}.Pour plus d'informations, veuillez-vous référer à l'étape 10 du blog deMicrosoft [1].

Le Microsoft Patch Tuesday du 11 octobre 2022 ne propose aucuncorrectif pour ces vulnérabilités. Il est essentiel de maintenirl'application des contournements mentionnés ci-avant.

Détection

Le billet de blogue de l'éditeur documente quelques éléments d'aide à ladétection de ces vulnérabilités [1].

Le CERT-FR recommande de réaliser une analyse approfondie des journauxréseau des serveurs IIS (sauvegardés par défaut dans le dossier :%SystemDrive%\inetpub\logs\LogFiles). Les commandes suivantespermettent d'identifier une exploitation de la vulnérabilitéCVE-2022-41040  :

• sur un système Windows :Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern '/powershell.*autodiscover.json.*200';
• sur un système Linux :cat <Path_IIS_Logs>/*.log | grep -i -e '/powershell.*autodiscover.json.*200'.

Si une répartition de charge (load-balancing) est mise en œuvre, cescommandes doivent être appliquées sur les journaux de chacun des nœuds.Il est possible d'identifier une exploitation réussie de laCVE-2022-41040 si, à la suite de la première requête, une seconderequête HTTP de type POST commençant par le motif : /PowerShell aété exécutée par le serveur. Dans ce cas là, une analyse forensique desserveurs Exchange doit être engagée.

En cas de suspicion de compromission, les bons réflexes en casd'intrusion sur votre système d'information sont rappelésici.

Solution

[Mise à jour du 09 novembre 2022]Se référer au bulletin de sécurité de l'éditeur pourl'obtention des correctifs (cf. section Documentation [4]).