L’équipe Exchange a demandé aux administrateurs de déployer un nouveau et « meilleur » correctif pour une vulnérabilité critique de Microsoft Exchange Server initialement corrigée en août.

Suivi comme CVE-2023-21709 et corrigée lors du Patch Tuesday d’août 2023, la faille de sécurité permet à des attaquants non authentifiés d’élever leurs privilèges sur des serveurs Exchange non corrigés dans le cadre d’attaques de faible complexité qui ne nécessitent pas d’interaction de l’utilisateur.

« Dans une attaque basée sur le réseau, un attaquant pourrait forcer brutalement les mots de passe des comptes d’utilisateur pour se connecter en tant qu’utilisateur. Microsoft encourage l’utilisation de mots de passe forts qui sont plus difficiles à utiliser par force brute pour un attaquant », a expliqué Microsoft.

Même si Microsoft a publié des mises à jour de sécurité pour corriger la vulnérabilité, il a également informé les administrateurs Exchange qu’ils devraient également supprimer manuellement le module vulnérable Windows IIS Token Cache ou utiliser ce script PowerShell pour garantir que leurs serveurs sont protégés contre les attaques utilisant les exploits CVE-2023-21709.

Dans le cadre du Patch Tuesday de ce mois-ci, Microsoft a publié une nouvelle mise à jour de sécurité (CVE-2023-36434) qui corrige entièrement la faille CVE-2023-21709 et ne nécessite aucune étape supplémentaire.

« Lors de la sortie des SU d’août 2023, nous avons recommandé d’utiliser une solution manuelle ou scriptée et de désactiver le module IIS Token Cache afin de résoudre le problème CVE-2023-21709. » l’équipe d’échange a déclaré.

« Aujourd’hui, l’équipe Windows a publié le correctif IIS pour la cause première de cette vulnérabilité, sous la forme du correctif pour CVE-2023-36434. Nous vous recommandons d’installer le correctif IIS, après quoi vous pourrez réactiver le module Token Cache sur vos serveurs Exchange. « 

Les administrateurs sont invités à réactiver le module IIS vulnérable

Si vous avez déjà supprimé le module Windows IIS Token Cache pour résoudre complètement le bug d’élévation de privilèges en août, vous devrez maintenant installer les mises à jour de sécurité d’aujourd’hui et réactiver le module IIS à l’aide de ce scénario ou en exécutant la commande suivante à partir d’une invite PowerShell élevée :

New-WebGlobalModule -Name "TokenCacheModule" -Image "%windir%\System32\inetsrv\cachtokn.dll"

Il est conseillé aux administrateurs qui n’ont pas encore appliqué la mise à jour de sécurité CVE-2023-21709 d’août d’installer les mises à jour de sécurité Windows Server d’octobre 2023.

« Nous effectuons des mises à jour de toutes les pages et scripts de documentation d’août 2023, ainsi que de Health Checker, pour refléter notre nouvelle recommandation », a ajouté Microsoft.

Les mises à jour de sécurité du Patch Tuesday d’octobre 2023 ont corrigé 104 failles, 12 classées critiques et trois étiquetées comme vulnérabilités zero-day activement exploitées dans les attaques.

Microsoft a refusé de corriger l’un d’entre eux, une vulnérabilité d’élévation de privilèges de Skype Entreprise identifiée comme CVE-2023-41763 et divulgué par le Dr Florian Hauser en septembre 2022jusqu’à aujourd’hui, même si des attaquants peuvent l’exploiter pour accéder aux systèmes des réseaux internes.