Office Servers and Services

"La connaissance ne vaut que si elle est partagée" / "An effective Knowledge is a shared one"

Exchange : Avertissement de sécurité Bulletin 2416728

Posted by Teruin laurent sur septembre 27, 2010


Microsoft vient d’alerter ses clients sur une faille de sécurité lié à la couche ASP.Net. L’éditeur est en train d’investiguer sur les ces problèmes de vulnérabilité. Des informations complémentaires peuvent être obtenues sur le lien suivant (Uk) : http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx

Dans l’environnement Exchange, toutes les versions sont concernées depuis la version Exchange 2003. Selon l’éditeur si vous avez choisi une configuration par défaut le risque de divulgation d’information ne porte que sur peu de fichiers mais il est cependant avéré. Microsoft fourni un moyen de détection des attaques par la supervision d’évènement tels que le suivant.

Event code: 3005
Event message: An unhandled exception has occurred.
Event time: 11/11/1111 11:11:11 AM
Event time (UTC): 11/11/1111 11:11:11 AM
Event ID: 1309
Event sequence: 133482
Event occurrence: 44273
Event detail code: 0
Application information:
Application domain: c1db5830-1-129291000036654651
Trust level: Full
Application Virtual Path: /
Application Path: C:\foo\TargetWebApplication\
Machine name: FOO
Process information:
Process ID: 3784
Process name: WebDev.WebServer40.exe
Account name: foo
Exception information:
Exception type: CryptographicException
Exception message: Padding is invalid and cannot be removed

Les équipes Exchange recommandent donc vivement de vérifier l’absence de ce type d’évènement ou si c’est le cas de vérifier le nombre d’occurrences de cet évènement car la présence de ce dernier peut être également causée par une mauvaise configuration (ferme de serveurs web ou moteur de recherche parcourant des liens erronés) . De plus la présence de cet évènement ne permettra pas d’affirmer que l’attaque a réussie. La meilleure protection est donc d’utiliser des pare-feu équipés de détection d’intrusion afin de détecter la provenance de l’attaque.
Microsoft est en train de corriger cette faille. Sa correction sera rendue publique dans la mise à jour du bulletin de sécurité 2416728 (http://www.microsoft.com/technet/security/advisory/2416728.mspx).

Une petite vérification des journaux s’impose donc.
Cordialement
Laurent Teruin

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :