Attaque contre Microsoft Exchange Server dans le monde entier

Un attaquant distant peut exploiter trois vulnérabilités d'exécution de code à distance - CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065 - pour prendre le contrôle d'un système affecté et peut exploiter une vulnérabilité - CVE-2021-26855 - pour obtenir l'accès à des informations sensibles. Ces vulnérabilités sont activement exploitées dans la nature.

Les versions concernées sont les suivantes :

Microsoft Exchange Server 2013 
Serveur Microsoft Exchange 2016 
Serveur Microsoft Exchange 2019
Classification des risques HAUTE

Actions recommandées

En raison de la nature critique de ces vulnérabilités, nous recommandons aux clients d'appliquer immédiatement les mises à jour aux systèmes touchés afin de se protéger contre ces exploits et de prévenir les abus futurs dans l'ensemble de l'écosystème.  Nous recommandons de donner la priorité à l'installation des mises à jour sur les serveurs Exchange qui sont tournés vers l'extérieur. Tous les serveurs Exchange concernés doivent être mis à jour.

Les IP de la COI doivent être bloqués :
108[.]61[.]246[.]56
149[.]28[.]14[.]163
157[.]230[.]221[.]198
167[.]99[.]168[.]251
185[.]250[.]151[.]72
192[.]81[.]208[.]169
203[.]160[.]69[.]66
157[.]230[.]221[.]198
103[.]77[.]192[.]219
104[.]140[.]114[.]110
211[.]56[.]98[.]146
5[.]254[.]43[.]18
80[.]92[.]205[.]81

Selon les recommandations de cette source : https://www.cynet.com/blog/china-chopper-observed-in-recent-ms-exchange-server-attacks/

Informations complémentaires
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
https://www.govcert.ch/blog/exchange-vulnerability-2021/?s=09