Résumé
Microsoft a connaissance d’une nouvelle classe de vulnérabilités appelée « attaques par canal auxiliaire d’exécution spéculative ». Ces vulnérabilités touchent de nombreux processeurs et systèmes d’exploitation modernes, dont les circuits microprogrammés Intel, AMD et ARM.
Nous n’avons encore reçu aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer nos clients. Nous continuons de collaborer étroitement avec des partenaires du secteur afin de protéger nos clients. Cela inclut des fabricants de puces, des fabricants de matériel OEM et des fournisseurs d’application. Pour bénéficier de toutes les protections disponibles, il est nécessaire d’effectuer des mises à jour du matériel ou du microprogramme et des mises à jour logicielles. Cela concerne notamment le microcode des fabricants d’appareils OEM et, dans certains cas, des mises à jour de l’antivirus. Nous avons publié plusieurs mises à jour pour contribuer à atténuer ces vulnérabilités. Des informations supplémentaires sur les vulnérabilités sont disponibles dans l’Avis de sécurité Microsoft ADV180002. Pour obtenir des instructions générales, consultez également l’article Instructions pour atténuer les vulnérabilités de canal auxiliaire d’exécution spéculative. Nous avons également pris des mesures pour sécuriser nos services cloud. Pour plus d’informations, consultez les sections suivantes.
Versions d’Exchange Server concernées
Étant donné qu’il s’agit d’attaques au niveau matériel qui ciblent les systèmes de processeur x64 et x86, toutes les versions prises en charge de Microsoft Exchange Server sont concernées par ce problème.
Recommandations
Le tableau suivant décrit les actions recommandées pour les clients Exchange Server. Aucune mise à jour spécifique d’Exchange n’est actuellement requise. Cependant, nous recommandons à nos clients d’appliquer la dernière mise à jour cumulative d’Exchange Server et les mises à jour de sécurité requises. Nous vous recommandons de déployer les correctifs en suivant les procédures habituelles pour valider de nouveaux binaires avant le déploiement dans des environnements de production.
|
Scénario |
Description |
Recommandations |
|
1 |
Exchange Server est exécuté sur un système nu (pas de machines virtuelles) et aucune autre logique d’application non approuvée (couche Application) n’est exécutée sur la même machine nue.
|
Appliquez toutes les mises à jour système et Exchange Server après vos tests de validation en préproduction habituels. Il n’est pas nécessaire d’activer la fonctionnalité KVAS (Kernel Virtual Address Shadowing) (voir la section correspondante plus loin dans cet article). |
|
2 |
Exchange Server est exécuté sur une machine virtuelle dans un environnement d’hébergement public (cloud). |
Pour Azure : Microsoft a publié des informations détaillées sur les efforts d’atténuation concernant Azure (voir KB 4073235). Pour les autres fournisseurs cloud : voir les instructions correspondantes. Pour savoir si vous devez activer KVAS, consultez les instructions correspondantes plus loin dans cet article. |
|
3 |
Exchange Server est exécuté sur une machine virtuelle dans un environnement d’hébergement privé. |
Pour obtenir les pratiques recommandées en matière de sécurité, consultez la documentation de sécurité de l’hyperviseur. Consultez l’article KB 4072698 pour Windows Server et Hyper-V. Pour savoir si vous devez activer KVAS, consultez les instructions correspondantes plus loin dans cet article. |
|
4 |
Exchange Server est exécuté sur une machine physique ou virtuelle et n’est pas isolé de l’autre logique d’application exécutée sur le même système.
|
Nous recommandons d’installer toutes les mises à jour du système d’exploitation. Pour savoir si vous devez activer KVAS, consultez les instructions correspondantes plus loin dans cet article. |
Avis concernant les performances
Il est conseillé à tous les clients d’évaluer les performances de leur environnement spécifique lorsqu’ils appliquent des mises à jour.
Les solutions fournies par Microsoft pour les types de vulnérabilités décrites ici font appel à des mécanismes logiciels pour assurer la protection contre l’accès interprocessus aux données. Nous conseillons à tous nos clients d’installer les versions mises à jour d’Exchange Server et de Windows. D’après les tests de Microsoft sur les charges de travail Exchange, cela devrait avoir un impact minimal sur les performances.
Nous avons mesuré l’impact de la fonctionnalité Kernel Virtual Address Shadowing (KVAS) sur différentes charges de travail. Nous avons constaté que certaines charges de travail subissent une réduction importante des performances. Exchange Server est l’une des charges de travail pouvant subir une réduction importante si KVAS est activé. Les serveurs les plus impactés sont ceux subissant une utilisation élevée du processeur ou des E/S. Nous vous recommandons vivement de commencer par évaluer l’impact sur les performances lié à l’activation de KVAS en réalisant des tests dans un laboratoire représentant vos besoins de production avant le déploiement dans un environnement de production. Si cet impact est trop important, déterminez si l’isolement d’Exchange Server du code non approuvé exécuté sur le même système est une meilleure atténuation pour l’application.
Outre la fonctionnalité KVAS, des informations sur l’impact sur les performances lié à la prise en charge matérielle Branch Target Injection Mitigation (IBC) sont disponibles ici. Un serveur Exchange Server sur lequel une solution IBC est déployée peut subir une réduction importante des performances si IBC est activé.
Nous prévoyons que les fournisseurs de matériel proposeront des mises à jour de leurs produits sous la forme de mises à jour du microcode. Notre expérience liée à Exchange indique que des mises à jour du microcode atténuent la baisse de performances. L’étendue dépend fortement des composants et de la conception du système auquel elles sont appliquées. Nous pensons qu’aucune solution unique, qu’elle soit logicielle ou matérielle, ne suffit pour résoudre ce type de vulnérabilité. Nous vous encourageons à évaluer les performances de toutes les mises à jour pour déterminer la variabilité de la conception du système et des performances avant de les mettre en production. L’équipe Exchange n’envisage pas de mettre à jour le calculateur de dimensionnement utilisé par les clients pour évaluer les différences de performances. Les calculs fournis par cet outil ne tiennent pas compte des modifications des performances liées aux correctifs de ces problèmes. Nous continuerons d’évaluer cet outil et les ajustements que nous estimons nécessaires en fonction de notre utilisation et de celle de nos clients.
Nous mettrons à jour cette section dès que des informations supplémentaires seront disponibles.
Activation de la fonctionnalité Kernel Virtual Address Shadowing
Exchange Server est exécuté dans de nombreux environnements, notamment des systèmes physiques, des machines virtuelles dans des environnements cloud publics et privés et des systèmes d’exploitation Windows. Quel que soit l’environnement, le programme est situé sur un système physique ou une machine virtuelle. Cet environnement, qu’il soit physique ou virtuel, est appelé « limite de sécurité ».
Si l’ensemble du code dans la limite a accès à toutes les données de cette limite, aucune action n’est nécessaire. Dans le cas contraire, la limite est mutualisée.En raison des vulnérabilités détectées, un code exécuté dans un processus dans cette limite, peut lire les autres données dans cette limite, même avec des autorisations réduites. Si un processus dans la limite exécute du code non approuvé, il pourrait exploiter ces vulnérabilités pour lire les données d’autres processus.
Pour bénéficier d’une protection contre un code non approuvé dans une limite mutualisée, effectuez l’une des opérations suivantes :
-
Supprimez le code non approuvé.
-
Activez KVAS pour bénéficier d’une protection contre les lectures interprocessus. Cette opération a un impact sur les performances. Pour plus d’informations, consultez les sections précédentes de cet article.
Pour plus d’informations sur l’activation de la fonctionnalité KVAS pour Windows, voir KB 4072698.
Exemples de scénario (KVAS est vivement recommandé)
Scénario 1
Une machine virtuelle Azure exécute un service dans lequel des utilisateurs non approuvés peuvent soumettre du code JavaScript exécuté à l’aide d’autorisations limitées. Sur la même machine virtuelle, Exchange Server est exécuté et gère des données qui ne devraient pas être accessibles à ces utilisateurs non approuvés. Dans ce cas, la fonctionnalité KVAS est nécessaire pour assurer une protection contre la divulgation entre les deux entités.
Scénario 2
Un système physique local qui héberge Exchange Server peut exécuter des scripts ou des exécutables tiers non approuvés. Il est nécessaire d’activer KVAS pour assurer une protection contre la divulgation de données Exchange au script ou à l’exécutable.
Remarque La simple utilisation d’un mécanisme d’extensibilité dans Exchange Server ne le rend pas dangereux pour autant. En effet, ces mécanismes peuvent être utilisés en toute sécurité dans Exchange Server tant que chaque dépendance est comprise et approuvée. De plus, d’autres produits reposant sur Exchange Server peuvent nécessiter des mécanismes d’extensibilité pour fonctionner correctement. En tant que première action, examinez plutôt chaque utilisation pour déterminer si ce code est compris et approuvé. Ces instructions visent à aider les clients à déterminer s’ils doivent activer la fonctionnalité KVAS en raison d’un impact plus important sur les performances.
Activation de la prise en charge matérielle Branch Target Injection Mitigation (IBC)
La fonctionnalité IBC permet d’atténuer la vulnérabilité CVE-2017-5715, également appelée « moitié de Spectre » ou « variante 2 » dans la publication GPZ.
Les instructions relatives à l’activation de la fonctionnalité KVAS sur Windows peuvent également activer IBC. Toutefois, la fonctionnalité IBC nécessite aussi une mise à jour du microprogramme fournie par le fabricant du matériel. Outre les instructions détaillées dans l’article KB 4072698, qui assurent la protection dans Windows, les clients doivent obtenir et installer des mises à jour disponibles auprès de leur fabricant de matériel.
Exemple de scénario (IBC est vivement recommandé)
Scénario 1
Dans un système physique local qui héberge Exchange Server, des utilisateurs non approuvés peuvent télécharger et exécuter des scripts JavaScript arbitraires. Dans ce scénario, il est vivement recommandé d’activer IBC afin d’assurer une protection contre la divulgation d’informations interprocessus.
Si la prise en charge matérielle IBC n’est pas présente, nous recommandons de séparer les processus non approuvés et les processus approuvés sur des machines physiques ou virtuelles différentes.
Mécanismes d’extensibilité Exchange Server non approuvés
Exchange Server contient des fonctionnalités et mécanismes d’extensibilité, dont la plupart reposent sur des API qui n’autorisent pas l’exécution de code non approuvé sur le serveur Exchange Server. Dans certains cas, les agents de transport et l’environnement de ligne de commande Exchange Management Shell peuvent autoriser l’exécution de code non approuvé sur un serveur Exchange Server. Dans tous les cas, à l’exception des agents de transport, les fonctionnalités d’extensibilité nécessitent une authentification pour pouvoir être utilisées. Dans la mesure du possible, nous vous recommandons d’utiliser les fonctionnalités d’extensibilité limitées à l’ensemble minimum de binaires. Nous recommandons également aux clients de restreindre l’accès au serveur pour éviter l’exécution de code arbitraire sur les mêmes systèmes qu’Exchange Server. Nous vous conseillons de déterminer si chaque binaire est approuvé. Vous devez désactiver ou supprimer les binaires non approuvés. Vous devez aussi veiller à ce que les interfaces de gestion ne soient pas exposées sur Internet.
Les produits tiers mentionnés dans le présent article proviennent de sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.
