Microsoft et ZDI ne sont pas d’accord sur les failles du jour zéro d’Exchange

Microsoft et Zero Day Initiative de Trend Micro sont en désaccord sur quatre vulnérabilités zero-day révélées la semaine dernière, suscitant une incertitude quant aux risques potentiels.

ZDI, une division de Trend Micro qui recherche les vulnérabilités et soumet les failles aux fournisseurs au nom des chercheurs, a divulgué le 2 novembre quatre vulnérabilités zero-day dans les versions sur site de Microsoft Exchange. Ils incluent la faille de désérialisation et d’exécution de code à distance ZDI-23-1578 ; faille de falsification de requête côté serveur ZDI-23-1581 ; faille SSRF ZDI-23-1580 ; et la faille SSRF ZDI-23-1579. Tous les quatre ont été découverts pour la première fois début septembre.

Les failles SSRF permettent à un attaquant d’exploiter un problème de serveur pour lire ou télécharger des données sensibles auxquelles ils ne devraient pas avoir accès autrement. Dans un article de blog dédié aux problèmes SSRF, l’auteur et chercheur de ZDI Piotr Bazydło a particulièrement souligné le ZDI-23-1581, notant qu’il permet à des attaquants distants authentifiés de divulguer des informations sensibles à partir de la boîte de réception Exchange d’une cible. Les détails techniques complets et une preuve de concept sont disponibles dans l’article.

“Comme l’attaquant peut abuser de ce SSRF pour récupérer le contenu de la réponse, j’ai pensé que c’était une bonne conclusion. Cependant, Microsoft n’était pas d’accord”, a-t-il écrit.

Bazydło a inclus la réponse de Microsoft à la divulgation de ce problème par ZDI, qui déclarait que la société « a enquêté sur ce problème et a conclu que cela ne nécessite pas de réparation immédiate. Nous avons partagé votre rapport avec l’équipe responsable de la maintenance du produit ou du service et ils prendront en compte une solution future potentielle, en prenant les mesures appropriées nécessaires pour aider à protéger les clients.

À son tour, comme ZDI ne savait pas quand ni si le problème serait résolu, il a décidé de publier un article de blog sur quatre failles pour lesquelles il n’existe apparemment pas de correctifs complets disponibles pour le moment. Pour les quatre failles, ZDI a recommandé sur ses pages de conseils dédiées : « Compte tenu de la nature de la vulnérabilité, la seule stratégie d’atténuation importante consiste à restreindre l’interaction avec l’application. »

Cependant, pour l’un des problèmes, la faille d’exécution de code à distance ZDI-23-1578, Microsoft dit publication sur la cybersécurité Semaine de la sécurité qu’il avait déjà été corrigé via les mises à jour de sécurité d’août.

Interrogé sur la réponse de Microsoft, Dustin Childs, responsable de la sensibilisation aux menaces chez ZDI, a déclaré à TechTarget Editorial qu’il estimait que la réponse de Microsoft au ZDI-23-1578 était « un peu trompeuse » car le correctif de Microsoft ne couvre que les configurations par défaut d’Exchange ; Le rapport de bug de ZDI couvrait des scénarios de configuration autres que ceux par défaut. “Dans mon esprit, cela signifie que de nombreux serveurs Exchange sont toujours vulnérables. Et maintenant, leurs administrateurs pensent qu’ils sont en sécurité alors qu’ils ne le sont peut-être pas”, a-t-il déclaré.

De plus, Childs a fait valoir que Microsoft minimisait les bogues SSRF car ils nécessitent que l’acteur menaçant soit authentifié. “Nous pensons qu’il vaut toujours la peine d’aborder ces problèmes dans une mise à jour de sécurité, car de nombreux serveurs Exchange ont un ou deux utilisateurs compromis qui peuvent s’authentifier, et les contournements d’authentification sont également une chose.” Il a ajouté que même s’il comprend leur point de vue, “j’aimerais qu’ils soient plus transparents dans leurs réponses”.

TechTarget Editorial a contacté Microsoft au sujet des préoccupations de Childs. En réponse, un porte-parole de Microsoft a déclaré que le géant de la technologie avait confirmé “qu’il ne s’agissait pas d’une vulnérabilité”.

“Pour rendre le serveur vulnérable, un administrateur devrait désactiver explicitement un indicateur de fonctionnalité ajouté dans la mise à jour de sécurité d’août. Ce n’est pas un scénario pratique ou probable”, a déclaré le porte-parole.

De plus, le porte-parole a partagé la déclaration suivante.

Nous apprécions le travail de cet chercheur qui a soumis ces problèmes dans le cadre d’une divulgation coordonnée des vulnérabilités, et nous nous engageons à prendre les mesures nécessaires pour aider à protéger les clients. Nous avons examiné ces rapports et avons constaté qu’ils ont déjà été traités ou qu’ils ne répondent pas aux exigences d’un service immédiat selon nos directives de classification de gravité, et nous évaluerons leur traitement dans les futures versions et mises à jour du produit, le cas échéant.

Enfin, le porte-parole a partagé des détails sur la réflexion de Microsoft derrière les quatre failles révélées par ZDI la semaine dernière.

Concernant le ZDI-23-1578, Microsoft a déclaré que les clients qui ont appliqué les mises à jour de sécurité du mois d’août sont déjà protégés. Pour ZDI-23-1581, « la technique décrite nécessite qu’un attaquant ait un accès préalable aux informations d’identification de messagerie, et aucune preuve n’a été présentée qu’elle puisse être exploitée pour obtenir une élévation de privilèges. » Pour le ZDI-23-1579, le porte-parole a noté l’exigence post-authentification. Et pour le ZDI-23-1580, le porte-parole a déclaré : « La technique décrite nécessite qu’un attaquant ait un accès préalable aux informations d’identification de messagerie, et aucune preuve n’a été présentée qu’elle puisse être exploitée pour accéder aux informations sensibles des clients. »

Le même jour que les révélations de ZDI la semaine dernière, Microsoft a annoncé la Secure Future Initiative, le plan du géant de la technologie visant à mieux résoudre les problèmes de logiciels et de vulnérabilité. Dans le cadre de l’annonce de la société, le président de Microsoft, Brad Smith, a déclaré : « Nous encouragerons également des rapports plus transparents et plus cohérents dans l’ensemble du secteur technologique. »

L’annonce de la Secure Future Initiative fait suite à des mois de critiques publiques virulentes à l’égard de la gestion par Microsoft des vulnérabilités signalées, en particulier dans les services cloud de l’entreprise. Dans un article d’août, des responsables et des professionnels de la sécurité de l’information, dont Childs, ont déclaré à TechTarget Editorial qu’ils estimaient que Microsoft faisait défaut au secteur de la sécurité en minimisant et en appliquant des correctifs silencieux aux vulnérabilités.

Alexander Culafi est un rédacteur, journaliste et podcasteur sur la sécurité de l’information basé à Boston.