Les serveurs Microsoft Exchange ciblés à cause des vulnérabilités ProxyShell

0

Les pirates informatiques recherchent désormais activement les vulnérabilités d’exécution de code à distance ProxyShell de Microsoft Exchange après la publication des détails techniques lors de la conférence Black Hat.

Avant de passer à l’analyse active de ces vulnérabilités, il est important de comprendre comment elles ont été divulguées.

ProxyShell est le nom de trois vulnérabilités qui effectuent l’exécution de code à distance non authentifié sur les serveurs Microsoft Exchange lorsqu’elles sont associées.

Ces vulnérabilités associées sont exploitées à distance via le service d’accès client de Microsoft Exchange s’exécutant sur le port 443 dans IIS.

Les trois vulnérabilités associées utilisées dans les attaques ProxyShell sont:

  • CVE-2021-34473 – La confusion du chemin de pré-authentification conduit au contournement d’ACL (correctif en avril par KB5001779)
  • CVE-2021-34523 – Élévation des privilèges sur le backend Exchange PowerShell (correctif en avril par KB5001779)
  • CVE-2021-31207 – Ecriture de fichier arbitraire Post-authentification mène à une exécution de code à distance (correctif en mai par KB5003435)

Curieusement, alors que CVE-2021-34473 et CVE-2021-34523 ont été divulgués pour la première fois en Juillet, ils ont en fait été discrètement corrigés dans la mise à jour cumulative KB5001779 de Microsoft Exchange au mois d’avril.

Les vulnérabilités ont été découvertes par Orange Tsai, chercheur principal en sécurité de Devcore, dont l’équipe a reçu un prix de 200 000 $ pour leur utilisation lors du concours de piratage Pwn2Own 2021 d’avril.

Orange Tsai était à la conférence Black Hat pour parler des récentes vulnérabilités de Microsoft Exchange qu’il a découvertes en ciblant la surface d’attaque du service d’accès client de Microsoft Exchange.

Dans le cadre de l’exposé, Tsai a expliqué que l’un des composants de la chaîne d’attaque ProxyShell cible le service Microsoft Exchange Autodiscover.

Microsoft a introduit le service Autodiscover pour fournir un moyen facile pour le logiciel client de messagerie de se configurer automatiquement avec une intervention minimale de l’utilisateur.

Microsoft Exchange ProxyShell
Diapositive de la conférence d’Orange Tsai montrant l’URL de découverte automatique

Après avoir regardé la conférence d’Orange Tsai, les chercheurs en sécurité PeterJson et Jang ont publié un article fournissant des informations techniques sur la façon dont ils pourraient reproduire avec succès l’exploit ProxyShell.

Les pirates recherchent les serveurs Exchange vulnérables

Le chercheur en sécurité Kevin Beaumont a tweeté qu’un pirate informatique sondait son pot de miel(honeypot) Microsoft Exchange à la recherche du service Autodiscover du serveur.

Bien que ces premières tentatives aient échoué, après la publication de plus de détails sur la vulnérabilité, les attaquants ont modifié leurs analyses pour utiliser la nouvelle URL de découverte automatique divulguée dans la diapositive de Tsai ci-dessus.

https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

En utilisant la nouvelle URL, il semble que les pirates informatiques ont réussi à détecter un système vulnérable car il déclenche la compilation de l’application Web ASP.NET.

Jang a déclaré que l’accès à l’URL entraînerait la compilation d’une application Web par le processus de travail ASP.NET (w3wp.exe exe), comme le montre l’image ci-dessous à partir du pot de miel(honeypot) de Beaumont.

Microsoft Exchange
Fichiers créés par l’analyse sur le pot de miel Microsoft Exchange Source : Twitter

Maintenant que les pirates informatiques recherchent activement les serveurs Microsoft Exchange vulnérables, Beaumont conseille aux administrateurs d’utiliser Azure Sentinel pour vérifier les journaux IIS pour les chaînes « /autodiscover/autodiscover.json » ou « /mapi/nspi/ ».

W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "/mapi/nspi/"

Si les résultats répertorient l’URL de découverte automatique ciblée, les pirates informatiques ont analysé votre serveur à la recherche de la vulnérabilité.

Les hackers tentent activement d’exploiter cette vulnérabilité, avec peu de succès jusqu’à présent. Cependant, ce n’est qu’une question de temps jusqu’à ce qu’une exploitation réussie soit réalisée dans la nature.

Il est fortement conseillé aux administrateurs de Microsoft Exchange d’installer les dernières mises à jour cumulatives afin qu’ils soient protégés de ces vulnérabilités.

Comme les correctifs de vulnérabilité ProxyShell ont déjà été publiés, les attaques ne devraient pas être aussi étendues que les attaques ProxyLogon que nous avons vues au mois de Mars, qui ont conduit à des ransomwares, des logiciels malveillants et des vols de données sur des serveurs exposés.

Cependant, Tsai déclare qu’il y a actuellement 400 000 serveurs Microsoft Exchange exposés sur Internet, donc il y a forcément des attaques réussies.

Laisser un commentaire