CVE-2023-21529 : RCE dans Microsoft Exchange Server via Désérialisation

Danger

Cette vulnérabilité est confirmée comme étant exploitée activement (CISA KEV).

Note

Résumé Exécutif (TL;DR) : La CVE-2023-21529 est une vulnérabilité critique d’exécution de code à distance (RCE) affectant Microsoft Exchange Server. Elle permet à un attaquant authentifié d’exécuter du code arbitraire via la désérialisation de données non approuvées. Cette faille est actuellement utilisée par l’acteur Storm-1175 comme vecteur d’accès initial pour des campagnes massives de ransomware Medusa. Un déploiement immédiat des correctifs est impératif.

Analyse Technique

Le cœur de cette vulnérabilité réside dans la désérialisation non sécurisée de données au sein de l’environnement Microsoft Exchange. Dans les applications .NET, la désérialisation est le processus de conversion d’un flux d’octets en un objet. Lorsqu’une application désérialise des données provenant d’une source non fiable sans validation suffisante, un attaquant peut concevoir un payload malveillant (utilisant souvent des “gadgets” issus de bibliothèques disponibles) qui déclenche l’exécution de code arbitraire lors de la reconstruction de l’objet.

Dans le cas de la CVE-2023-21529, un attaquant authentifié peut envoyer une requête spécifiquement formatée au serveur. Le serveur, faisant confiance à l’objet sérialisé, traite le payload, ce qui conduit à une compromission du système avec les privilèges du compte de service Exchange.

Métriques de la Vulnérabilité

• Score CVSS v3.1 : 8.8 (Haut)
• Vecteur : CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
• Classification : CWE-502 (Désérialisation de données non approuvées)

Versions Affectées

Les versions suivantes sont vulnérables à cet exploit :

• Exchange Server 2019 CU12 : Versions < 15.02.1118.025
• Exchange Server 2019 CU11 : Versions < 15.02.0986.041
• Exchange Server 2016 CU23 : Versions < 15.01.2507.021
• Exchange Server 2013 CU23 : Versions < 15.00.1497.047

Flux d’Exploitation

La chaîne d’attaque suit généralement une progression rapide, allant de l’accès initial au chiffrement total de l’environnement.

1. Authentification : L’attaquant obtient des identifiants valides pour l’environnement Exchange (via phishing, credential stuffing ou fuites).
2. Livraison du Payload : Un objet sérialisé malveillant est transmis à l’endpoint vulnérable d’Exchange.
3. Déclenchement : Le serveur désérialise l’objet, exécutant le code injecté.
4. Persistance : Storm-1175 établit généralement sa persistance en créant de nouveaux comptes utilisateurs administratifs.
5. Mouvement Latéral : Déploiement d’outils de surveillance et de gestion à distance (RMM) pour naviguer sur le réseau.
6. Exfiltration & Impact : Les données sensibles sont exfiltrées, puis le ransomware Medusa est déployé sur l’infrastructure.

Investigation Forensique

D’un point de vue forensique, la preuve irréfutable se trouve souvent dans le comportement des processus de travail.

Traces & Logs

• Analyse de l’arbre des processus : L’indicateur le plus critique est l’apparition de processus enfants anormaux issus de w3wp.exe (le processus de travail IIS). Toute instance de cmd.exe, powershell.exe ou net.exe originant de w3wp.exe est un indicateur de compromission à haute confiance.
• Création de comptes : Surveillez l’Event ID 4720 (Un compte d’utilisateur a été créé) pour détecter des comptes administratifs non autorisés créés peu après une activité suspecte de w3wp.exe.
• Web Shells : Vérifiez la présence de fichiers .aspx récemment créés dans les répertoires d’installation d’Exchange, souvent utilisés pour maintenir l’accès après la phase de RCE.

IOCs (Indicateurs de Compromission)

• Acteur : Storm-1175
• Malware : Ransomware Medusa
• IOCs Comportementaux : Transferts de données massifs vers des IP externes inconnues suite à la compromission initiale.

Détection (Sigma & KQL)

La détection proactive se concentre sur les anomalies comportementales décrites précédemment.

Règle Sigma

title: Exchange Server RCE - Processus Enfant Suspect
logsource:
    category: process_creation
detection:
    selection:
        ParentImage: '*w3wp.exe'
        Image:
            - '*cmd.exe'
            - '*powershell.exe'
            - '*net.exe'
            - '*whoami.exe'
    condition: selection

Requête KQL (Hunting)

DeviceProcessEvents
| where InitiatingProcessFileName == "w3wp.exe"
| where FileName in ("cmd.exe", "powershell.exe", "net.exe", "whoami.exe")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine, InitiatingProcessParentFileName

Mitigations

Mise à jour Appliquez immédiatement les dernières mises à jour cumulatives (CU) fournies par Microsoft. C’est la seule solution définitive.

Durcissement Restreignez l’accès authentifié à Exchange depuis des lieux non approuvés. Implémentez le MFA sur tous les comptes administratifs.

Surveillance Déployez des solutions EDR configurées pour alerter sur la création de processus enfants anormaux par les processus IIS.

Sources

• NVD Detail CVE-2023-21529
• CVE.org Record
• Microsoft Security Blog - Storm-1175
• CISA KEV Catalog