Microsoft : les failles ProxyShell « pourraient être exploités », Patchez les serveurs maintenant !

0

Microsoft a enfin publié des conseils pour les vulnérabilités ProxyShell activement exploitées affectant plusieurs versions de Microsoft Exchange sur site.

ProxyShell est un ensemble de trois failles de sécurité (corrigées en avril et mai) découvertes par le chercheur en sécurité Orange Tsai de Devcore, qui les a exploitées pour compromettre un serveur Microsoft Exchange lors du concours de piratage Pwn2Own 2021:

  • CVE-2021-34473 – La confusion du chemin de pré-authentification conduit au contournement d’ACL (corrigé en avril par KB5001779)
  • CVE-2021-34523 – Élévation de privilèges sur le backend Exchange PowerShell (correctif en avril par KB5001779)
  • CVE-2021-31207 – Ecriture de fichier arbitraire post-authentification mène à une exécution de code à distance (correctif en mai par KB5003435)

Bien que Microsoft ait entièrement corrigé les failles ProxyShell en mai 2021, ils n’ont attribué des identifiants CVE pour les vulnérabilités qu’en juillet, empêchant certaines organisations avec des serveurs non corrigés de découvrir qu’elles avaient des systèmes vulnérables sur leurs réseaux.

Microsoft silencieux sur les attaques en cours

Les chercheurs en sécurité et la US Cybersecurity and Infrastructure Security Agency (CISA) ont déjà averti les administrateurs de patcher leurs serveurs Exchange pour se défendre contre les attaques en cours à l’aide d’exploits ProxyShell qui ont commencé début août.

Cependant, malgré tous les avertissements précédents d’attaques actives, Microsoft n’a pas informé les clients que leurs serveurs Exchange sur site étaient attaqués jusqu’au 25 Août.

« La semaine dernière, les chercheurs en sécurité ont discuté de plusieurs vulnérabilités de ProxyShell, y compris celles qui pourraient être exploitées sur des serveurs Exchange non corrigés pour déployer des ransomwares ou mener d’autres activités post-exploitation », a déclaré l’équipe d’Exchange.

« Si vous avez installé les mises à jour de sécurité de mai 2021 ou les mises à jour de sécurité de juillet 2021 sur vos serveurs Exchange, vous êtes alors protégé contre ces vulnérabilités. Les clients Exchange Online sont également protégés (mais doivent s’assurer que tous les serveurs Exchange hybrides sont mis à jour). »

Microsoft indique que les clients doivent installer AU MOINS UNE des dernières mises à jour cumulatives prises en charge et TOUTES les mises à jour de sécurité applicables pour bloquer les attaques ProxyShell.

Selon Microsoft, les serveurs Exchange sont vulnérables si l’une des conditions suivantes est vraie:

  • Le serveur exécute une mise à jour cumulative plus ancienne et non prise en charge;
  • Le serveur exécute des mises à jour de sécurité pour les anciennes versions d’Exchange non prises en charge qui ont été publiées en mars 2021
  • Le serveur exécute une mise à jour cumulative plus ancienne et non prise en charge, avec les atténuations de mars 2021 appliquées.

Exploitation active par de multiples pirates informatiques

L’avertissement de la CISA selon lequel de multiples pirates informatiques exploitent activement les vulnérabilités de ProxyShell est intervenu après que des organisations similaires ont alerté les organisations en mars pour défendre leurs réseaux contre une vague d’attaques.

Les attaques Exchange de Mars ont été orchestrées par des pirates informatiques soutenus par l’État chinois qui ont frappé des dizaines de milliers d’organisations dans le monde en utilisant des exploits ciblant quatre bogues Exchange de type zero-day connus collectivement sous le nom de ProxyLogon.

Tout comme cela s’est produit en mars, les attaquants recherchent et piratent maintenant les serveurs Microsoft Exchange à l’aide des vulnérabilités ProxyShell après que des chercheurs en sécurité et des acteurs de la menace aient reproduit un exploit fonctionnel.

Alors qu’au début, les charges utiles de ProxyShell déposées sur les serveurs Exchange étaient inoffensives, les attaquants déploient maintenant des charges utiles de ransomware LockFile livrées sur des domaines Windows compromis via des exploits Windows PetitPotam.

Pour avoir une idée de l’ampleur du problème, la société de sécurité Huntress Labs a récemment déclaré avoir trouvé plus de 140 shells Web déployés par des attaquants sur plus de 1 900 serveurs Microsoft Exchange compromis récemment.

Shodan suit également des dizaines de milliers de serveurs Exchange vulnérables aux attaques ProxyShell, la plupart situés aux États-Unis et en Allemagne.

« Une nouvelle vague d’exploitation des serveurs Microsoft Exchange est en cours », a également averti le directeur de la cybersécurité de la NSA, Rob Joyce. « Vous devez vous assurer que vous êtes patché et que vous surveillez si vous hébergez une instance. »

La NSA a également rappelé aux défenseurs que les directives publiées en mars sur la recherche de shells Web peuvent toujours être utilisées pour se défendre contre les attaques en cours de ProxyShell.

Jusqu’à ce que Microsoft publie des conseils supplémentaires sur la protection et la détection des serveurs vulnérables contre l’exploitation, vous pouvez trouver des informations détaillées sur l’identification des serveurs Exchange non corrigés et la détection des tentatives d’exploitation dans l’article de blog publié par le chercheur en sécurité Kevin Beaumont.

Laisser un commentaire