Microsoft a émis un avertissement concernant une vulnérabilité de sécurité de type “zero-day” dans Exchange, actuellement exploitée. Bien qu’aucune mise à jour logicielle ne soit encore disponible, Microsoft recommande aux administrateurs de mettre en œuvre rapidement les contre-mesures conseillées. La vulnérabilité résulte d’un filtrage insuffisant des entrées lors de la génération de sites web, entraînant un problème de script intersites qui permet à des attaquants réseau non authentifiés de mener des attaques de falsification. Cela affecte Outlook Web Access, où des emails manipulés peuvent déclencher l’exécution de JavaScript arbitraire dans certaines conditions. Les systèmes concernés incluent Exchange Server 2016, 2019 et l’édition par abonnement, quel que soit le niveau de mise à jour. Bien qu’aucune mise à jour logicielle ne soit fournie, le service Exchange Emergency Mitigation propose une correction automatique. Ce service, actif depuis septembre 2021, a déjà appliqué des contre-mesures là où il est activé. Cependant, ces mesures peuvent affecter certaines fonctionnalités comme l’impression du calendrier et l’affichage des images intégrées dans OWA. Microsoft travaille sur une solution permanente, qui sera disponible dans de futures mises à jour pour des versions spécifiques d’Exchange, nécessitant pour certaines un abonnement aux mises à jour de sécurité étendues.
Une vulnérabilité zero-day dans Microsoft Exchange est-elle attaquée ?
