A Propos 

Espace membres

Devenez membre !

Vulnérabilités

imprimer

Faille majeure pour Exchange : patchez !

Par Jerome Saiz, le 10 mai 2006 à 10:35:00.

Vulnérabilités

La dernière livraison des correctifs mensuels de Microsoft corrige notamment une vulnérabilité pour Exchange. Exploitable à distance, la faille permet l'exécution de code sur le serveur en y envoyant un simple courrier piégé. Attention cependant : le correctif proposé par l'éditeur semble entrer en conflit avec le serveur de Blackberry.


Il suffirait d'envoyer un courrier piégé à un serveur Microsoft Exchange pour y exécuter du code.
Bien qu'il ne semble pas y avoir encore d'exploitation massive de cette vulnérabilité, il est vital de la corriger, tant les serveurs de courrier sont des cibles précieuses pour les pirates.
La vulnérabilité vient d'une faiblesse dans le traitement des protocoles de partage d'agenda iCal (Internet Calendar) et vCal (Virtual Calendar). Ces derniers sont considérés comme des contenus MIME par le serveur de courrier et seront interprétés comme tels. La vulnérabilité se trouve dans les composants chargés de faire l'interface entre les messages reçus et l'Exchange Store (CDOEX et EXCDO) lors de ce traitement.

Il suffit alors d'un courrier piégé pour provoquer l'exécution de code sur le serveur Exhange lui-même. Et entre l'envoi massif de spam ou l'interception silencieuse des courriers, un pirate s'emparant d'un serveur de courrier n'est pas une perspective réjouissante !

Microsoft a livré un correctif afin de palier a cette vulnérabilité, mais les utilisateurs du Blackberry Enterprise Server semblent avoir bien vite déchanté : la rustine empêcherait les terminaux mobiles d'envoyer du courrier, bien qu'ils puissent toujours en recevoir.
En attendant le correctif du correctif, les adeptes du Blackberry sous Exchange sont invités à mettre en place une authentification pour toute connexion au serveur de courrier (une mesure qui peut se révéler particulièrement contraignante), ou de bloquer les protocoles iCal et vCal sur le serveur.

Selon la société ISS, l'exécution de code n'est pas simple, mais tout à fait possible. Elle pourrait permettre, outre la compromission du serveur, le développement d'un ver capable de se propager de serveur à serveur sans intervention humaine.

Plus d'information

Cartes blanches

IAM : dépenser moins pour gagner plus

Bruno Vincent

Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos. 		Organisation et sécurité: en finir avec le cloisonnement !

Bruno Vincent

Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ?

Monsieur RSSI

Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur. 		Rififi en vue chez les identités

Bruno Vincent

Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches
Les dossiers Les thématiques

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité Tarsus 2009
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.