Critical bug found in popular mail server software

If exploited, the security hole in Exim could allow attackers to run arbitrary commands on vulnerable mail servers

Tomáš Foltýn

Exim, the popular mail transfer agent (MTA) software, contains a critical-rated vulnerability that can, in some scenarios, enable remote attackers to run commands of their choice on unpatched mail servers, researchers from Qualys have found.

Tracked under CVE-2019-10149, the remote command execution flaw impacts Exim installations 4.87 through 4.91. The bug was fixed with the latest version (4.92) of the open-source software, albeit, by all accounts, unknowingly. According to Qualys, the issue “was not identified as a security vulnerability” when the latest version was released in February.

The software, which is responsible for transferring messages from one computer to another is, installed on a large chunk of mail servers that are visible online. More than 95 percent of them appear to run one of Exim’s older – and vulnerable – versions.

According to Qualys, the bug could enable attackers to execute commands on a vulnerable Exim server as the root user and effectively take it over.

The vulnerability is “trivially exploitable” by a local attacker, even with a low-privileged account.

Perhaps more worryingly, however, remote exploitation is also possible, both in Exim’s default and non-default setup. The silver lining is that things would be more difficult for remote attackers.

“This vulnerability is exploitable instantly by a local attacker (and by a remote attacker in certain non-default configurations). To remotely exploit this vulnerability in the default configuration, an attacker must keep a connection to the vulnerable server open for 7 days (by transmitting one byte every few minutes). However, because of the extreme complexity of Exim’s code, we cannot guarantee that this exploitation method is unique; faster methods may exist”.

Additional details about how the hole in Exim could be exploited are available in the aforementioned advisory.

Meanwhile, Exim’s maintainers said that there is no evidence that the hole is under active exploitation and that the patch “exists already, is being tested, and backported to all versions we released since (and including) 4.87”.

On a different note, dangers faced by mail servers were documented in recent ESET research that dissected the first malware that was specifically designed to target Microsoft Exchange mail servers.

Exim : un bogue critique trouvé dans un logiciel de serveur de messagerie populaire

Si elle est exploitée, la faille de sécurité dans Exim pourrait permettre aux attaquants d'exécuter des commandes arbitraires sur des serveurs de messagerie vulnérables.

Tomáš Foltýn

Exim, le logiciel populaire d’agent de transfert de courrier (MTA), contient une vulnérabilité critique qui pourrait permettre aux attaquants d’exécuter des commandes de leur choix à distance sur des serveurs de courrier non patchés, ont découvert les chercheurs de Qualys.

Classifié comme CVE-2019-10149, cette faille d’exécution de la commande à distance affecte les installations Exim 4.87 à 4.91. Le bogue a été corrigé avec la dernière version (4.92) du logiciel open-source, bien que, de l’avis général, sans le savoir. Selon Qualys, le problème « n’a pas été identifié comme une faille de sécurité », lors de la publication de la dernière version en février.

Le logiciel, qui est responsable du transfert des messages d’un ordinateur à l’autre, est installé sur un grand nombre de serveurs de messagerie accessibles en ligne. Plus de 95 % d’entre eux semblent utiliser l’une des versions les plus anciennes - et les plus vulnérables - d’Exim.

Selon Qualys, le bogue pourrait permettre aux attaquants d’exécuter des commandes sur un serveur Exim vulnérable en tant qu’utilisateur root et de parvenir à en prendre le contrôle.

La vulnérabilité est « trivialement exploitable » par un attaquant local, même avec un compte peu privilégié. Mais ce qui est peut-être plus inquiétant encore, c’est que l’exploitation à distance est également possible, que ce soit dans la configuration par défaut ou non d’Exim. Le côté positif est que cette vulnérabilité serait plus difficile à utiliser pour les attaquants éloignés.

« Cette vulnérabilité peut être exploitée instantanément par un attaquant local (et par un attaquant distant dans certaines configurations hors défaut). Pour exploiter à distance cette vulnérabilité dans la configuration par défaut, un attaquant doit garder une connexion au serveur vulnérable ouverte pendant 7 jours (en transmettant un octet toutes les quelques minutes). Cependant, en raison de l’extrême complexité du code d’Exim, nous ne pouvons garantir que cette méthode d’exploitation est la seule; des méthodes plus rapides peuvent exister. »

Pour plus de détails sur la façon dont le trou dans Exim pourrait être exploité sont disponibles dans l’avis susmentionné.

Pendant ce temps, les responsables de la maintenance d’Exim affirment qu’il n’y a aucune preuve que la faille est activement exploitée et soulignent que le correctif « existe déjà, est testé, et rétroporté vers toutes les versions que nous avons publiées depuis (et incluant) 4.87 ».

Par ailleurs, les dangers auxquels sont confrontés les serveurs de messagerie ont été documentés dans une recherche récente d’ESET qui a disséqué le premier malware spécifiquement conçu pour cibler les serveurs de messagerie Microsoft Exchange.

https://www.welivesecurity.com/fr/2019/06/07/bogue-serveur-messagerie-exim/?utm_source=newsletter&utm_medium=email&utm_campaign=wls-newsletter-060719

Les conséquences d’une brèche de donnée : un fait vécu

 Tony Ascombe

La semaine dernière, j’ai reçu un avis de la Bank of America m’informant que ma carte de crédit faisait peut-être partie de celles affectées par une brèche visant un commerçant dont l’identité n’a pas été révélée. Le courriel mentionnait qu’il n’y a peut-être pas eu de fraude sur ma carte et qu’il s’agit d’une précaution. L’institution financière y précisait également que je ne serai pas tenu responsable financièrement pour toute transaction frauduleuse.

Cela m’a donné le goût de partager ma propre expérience en matière d’atteinte à la protection des données avec vous. Avant d’entrer dans le vif du sujet, j’aimerais préciser que le message de notification que j’ai reçu de la Bank of America me frustre un peu. D’abord, j’aurais voulu savoir quel commerçant a subi cette brèche. En effet, il se peut que d’autres données me concernant soient stockées et que je puisse prendre des mesures pour les protéger. De plus, je voudrais que la banque explique les moyens mis en place pour traquer les fraudeurs et va les traduire en justice, plutôt que de laconiquement offrir de rembourser tous les frais si mon compte est touché.

À mon avis, la manière désinvolte dont les atteintes à la protection des données sont notifiées, remboursées et plus globalement traitées, est source de complaisance parmi les personnes touchées, voire même auprès des entreprises touchées. On entend d’ailleurs très rarement parler des criminels qui sont arrêtés, ni des malheurs des personnes qui ont eu la malchance d’avoir été victimes de leurs crimes.

Mon récit de vol de données

En décembre 2018, j’ai reçu un relevé bancaire mensuel par la poste pour un compte que j’utilise rarement. Eh oui, certains d’entre nous reçoivent encore des relevés papier. Le relevé se limite généralement à une seule page avec peu ou pas de transactions, mais cette fois-ci, j’ai été choqué de voir qu’il comportait alors 7 pages. Il y avait 50 éléments sur le relevé qui n’étaient pas les miens – 35 débits et 15 crédits – et la majorité d’entre eux concernaient des compagnies d’assurance basées au Royaume-Uni.

Petite mise en contexte : il s’agit un compte offshore en dollars américains et la raison pour laquelle il est rarement utilisé est qu’il s’agit d’un fonds d’urgence. Les cartes associées sont conservées avec nos passeports et c’est un compte que nous conservons « juste au cas où quelque chose arriverait », procurant suffisamment de financement instantané accessible pour résoudre, espérons-le, tout problème que nous pourrions rencontrer lors de nos voyages. En résumé, le compte est peu utilisé, est rarement consulté en ligne et n’est vérifié que d’un simple coup d’œil sur un relevé papier.

J’ai donc passé une heure au téléphone après avoir appelé la ligne antifraude de ma banque, accessible 24 heures sur 24. Le personnel de cette ligne m’a grandement aidé, m’ayant permis de résoudre les problèmes initiaux en passant en revue avec moi chaque transaction sur le relevé pour déterminer si elle était légitime ou le fait de la fraude. Ils semblaient un peu surpris au départ que je n’aie pas remarqué les transactions plus tôt, mais après leur avoir expliqué les circonstances de l’utilisation du compte, nous sommes rapidement passés à autre chose. Au total, il y a eu environ 7 500 $ US en transactions et 1 750 $ US en remboursements, pour un solde net d’environ 5 750 $ US fraudé. La banque a immédiatement crédité cette somme sur le compte. Ils ont également bloqué le compte, afin d’empêcher d’autres transactions, en plus de réémettre les cartes associées au compte.

Dans les jours qui ont suivi, d’autres transactions sont apparues et quelques crédits supplémentaires. En fait, les crédits se sont poursuivis pendant environ quatre semaines. La banque a continué de surveiller et d’ajuster la somme remboursée en conséquence. La banque a également exigé une déclaration écrite attestant que les transactions n’avaient pas été effectuées par moi, me fournissant les documents à signer. Au-delà de la détresse causée par la situation et le temps passé au téléphone, tout a été réglé de manière relativement facile et simple.

Assurer un meilleur avenir

Qu’en est-il des transactions? L’une des premières transactions frauduleuses est très amusante dans les circonstances. Les fraudeurs ont effectivement acheté un produit VPN de Identity Cloaker. Ce produit permet d’effectuer des transactions frauduleuses en ligne sans divulguer les adresses IP des fraudeurs, cachant leur identité et leur emplacement aux commerçants et, éventuellement, aux forces de l’ordre.

Article complet sur https://www.welivesecurity.com/fr/2019/05/31/breche-fait-vecu/