Microsoft Exchange: Une nouvelle preuve de concept rend les attaques plus faciles

0

Un chercheur en sécurité a publié une nouvelle preuve de concept d’exploit qui nécessite une légère modification pour installer des Web shells sur les serveurs Microsoft Exchange vulnérables aux failles Proxylogon activement exploitées.

Depuis que Microsoft a révélé les vulnérabilités de sécurité Microsoft Exchange activement exploitées, connues collectivement sous le nom de ProxyLogon, les administrateurs et les chercheurs en sécurité se sont démenés pour protéger les serveurs vulnérables exposés sur Internet.

Ces attaques sont utilisées pour lancer des web shell, des crypto-mineurs, et plus récemment, le ransomware DearCry sur les serveurs exploités.

Plus tôt cette semaine, un chercheur en sécurité nommé Nguyen Jang a publié un billet de blog détaillant une preuve de concept d’exploit pour la vulnérabilité ProxyLogon de Microsoft Exchange. Jang a également partagé un exploit volontairement cassé sur GitHub qui a besoin de quelques correctifs pour fonctionner correctement.

« Tout d’abord, la preuve de concept que j’ai partagée ne peut pas fonctionner correctement. Il plantera avec beaucoup d’erreurs. Juste pour troller les lecteurs, » a déclaré Jang.

La preuve de concept, cependant, a fourni suffisamment d’informations que les chercheurs en sécurité et les pirates informatiques pourraient utiliser pour développer un exploit fonctionnel d’exécution de code à distance pour les serveurs Microsoft Exchange.

Peu de temps après la publication de la preuve de concept, Jang a reçu un e-mail de GitHub, propriété de Microsoft, indiquant que la preuve de concept avait été supprimé car elle violait les conditions d’utilisation du site.

GitHub a déclaré avoir supprimé la preuve de concept pour protéger les appareils qui sont activement exploités.

« Nous comprenons que la publication et la distribution du code d’exploitation des preuves de concept ont une valeur éducative et de recherche pour la communauté de la sécurité, et notre objectif est d’équilibrer cet avantage avec la sécurité de l’écosystème en général. Conformément à nos conditions d’utilisation, GitHub a supprimé le gist à la suite de rapports indiquant qu’il contenait du code de preuve de concept pour une vulnérabilité récemment divulguée qui est activement exploitée. »

GitHub

Ce nouvel exploit rend les choses plus faciles pour les scripts kiddies

Ce week-end, un autre chercheur en sécurité a publié une nouvelle preuve de concept de ProxyLogon qui nécessite très peu de modifications pour exploiter un serveur Microsoft Exchange vulnérable et déployer un web shell.

Will Dormann, analyste de vulnérabilité au CERT/CC, a testé la vulnérabilité sur un serveur Microsoft Exchange et a déclaré qu’il fonctionnait avec très peu de modifications.

« Il est à la portée de “script kiddies” maintenant, a averti Dormann.

Comme vous pouvez le voir sur l’image ci-dessous, Dormann a utilisé l’exploit contre un serveur Microsoft Exchange et installé à distance un web shell, et exécuté la commande ‘whoami’.

exchange

Une autre image partagée par Dormann montre que l’exploit a utilisé le web shell test11.aspx dans l’emplacement spécifié sur le serveur.

exchange

Didier Stevens, analyste senior chez NVISO et senior handler chez SANS ISC, a également testé l’exploit contre une machine virtuelle Microsoft Exchange mais n’a pas eu autant de chance avec la preuve de concept.

Stevens a déclaré qu’il a testé la nouvelle preuve de concept contre un serveur Exchange 2016 non patché sans mises à jour cumulatives. La preuve de concept ne fonctionnera pas sans peaufiner certains paramètres d’Active Directory.

Cependant, Stevens a déclaré que de nouvelles informations dans la preuve de concept publiée ce week-end lui a permis de faire fonctionner la preuve de concept de Jang pour réussir une exécution de code à distance contre son serveur Microsoft Exchange.

Stevens était également d’accord avec l’évaluation de Dormann selon qui les informations divulguées dans la nouvelle preuve de concept faciliteraient la création d’un exploit de proxylogon pour les pirates informatiques moins qualifiés, connus sous le nom de « Script Kiddies ».

En raison du grand nombre de serveurs vulnérables encore exposés sur Internet, nous ne partagerons pas de liens vers la preuve de concept.

80 000 serveurs Exchange encore vulnérables

Avec les exploits des vulnérabilités de Microsoft Exchange qui deviennent accessibles au public, il est plus important que jamais que les administrateurs corrigent leurs serveurs.

Selon les chercheurs de Palo Alto Networks, environ 80 000 serveurs Microsoft Exchange vulnérables sont exposés sur Internet.

« Le nombre de serveurs vulnérables exécutant d’anciennes versions d’Exchange qui ne peuvent pas appliquer directement les correctifs de sécurité récemment sortis a chuté de plus de 30%, d’environ 125 000 à 80 000, selon les analyses internet d’Expanse menées les 8 et 11 Mars, » a déclaré Palo Alto Networks.

Microsoft a également averti que même s’il ya eu une baisse significative des serveurs vulnérables, il y’en a encore beaucoup qui doivent être patchés.

« En se basant sur la télémétrie de RiskIQ, nous avons détecté un nombre total de près de 400 000 serveurs Exchange le 1er mars. Au 9 mars, il y avait un peu plus de 100 000 serveurs encore vulnérables. Ce nombre n’a cessé de diminuer, avec seulement environ 82.000 à mettre à jour », a déclaré Microsoft dans un article de blog.

Beaucoup de ces serveurs utilisent des anciennes versions qui n’avaient pas de mises à jour de sécurité disponibles.

Microsoft a publié des mises à jour de sécurité supplémentaires pour les anciennes versions de Microsoft Exchange, qui couvrent désormais 95% des serveurs exposés sur Internet.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.