Les serveurs Microsoft Exchange sont piratés via des exploits ProxyShell

0

Les pirates informatiques exploitent activement les serveurs Microsoft Exchange en utilisant la vulnérabilité ProxyShell pour installer des portes dérobées pour un accès ultérieur.

ProxyShell est le nom d’une attaque qui utilise trois vulnérabilités de Microsoft Exchange associées pour exécuter du code à distance sans authentification.

Les trois vulnérabilités, énumérées ci-dessous, ont été découvertes par Orange Tsai, chercheur principal en sécurité de Devcore, qui les a associées pour prendre le contrôle d’un serveur Microsoft Exchange lors du concours de piratage Pwn2Own 2021 au mois d’avril.

  • CVE-2021-34473 – La confusion du chemin de pré-authentification conduit au contournement d’ACL (correctif en avril par KB5001779)
  • CVE-2021-34523 – Élévation des privilèges sur le backend Exchange PowerShell (correctif en avril par KB5001779)
  • CVE-2021-31207 – Ecriture de fichier arbitraire post-authentification mène à exécution de code arbitraire (correctif en mai par KB5003435)

Orange Tsai était à la conférence Black Hat pour parler des vulnérabilités récentes de Microsoft Exchange qu’il a découvertes en ciblant la surface d’attaque du service d’accès client (CAS) de Microsoft Exchange.

Tsai a révélé que l’exploit ProxyShell utilise la fonction de découverte automatique de Microsoft Exchange pour effectuer une attaque SSRF dans le cadre de la conversation.

Après avoir regardé la conférence, les chercheurs en sécurité PeterJson et Nguyen Jang ont publié des informations techniques plus détaillées sur la reproduction réussie de l’exploit ProxyShell.

Peu de temps après, le chercheur en sécurité Kevin Beaumont a commencé à voir des pirates informatiques rechercher des serveurs Microsoft Exchange vulnérables à ProxyShell.

ProxyShell activement exploité pour déposer des webshells

Le chercheur en vulnérabilité de Beaumont et NCC Group, Rich Warren, a révélé que les pirates informatiques ont exploité leurs pots de miel(honeypots) Microsoft Exchange à l’aide de la vulnérabilité ProxyShell.

Lorsqu’ils exploitent Microsoft Exchange, les attaquants utilisent une URL initiale telle que:

https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

L’exploit dépose actuellement un webshell d’une taille de 265 Ko dans le dossier ‘c:\inetpub\wwwroot\aspnet_client\’.

Récemment, Jang a expliqué que 265 Ko est la taille minimale des fichiers pouvant être créés à l’aide de l’exploit ProxyShell en raison de son utilisation abusive de la fonction d’exportation de boîte aux lettres d’Exchange Powershell pour créer des fichiers PST.

À partir d’un échantillon partagé par Warren, les webshells consistent en un simple script protégé par authentification que les pirates informatiques peuvent utiliser pour télécharger des fichiers sur le serveur Microsoft Exchange compromis.

Warren a déclaré que les pirates informatiques utilisent le premier webshell pour télécharger un webshell supplémentaire dans un dossier accessible à distance et deux exécutables dans les dossiers C:\Windows\System32, répertoriés ci-dessous:

C:\Windows\System32\createhidetask.exe
C:\Windows\System32\ApplicationUpdate.exe

Si les deux exécutables sont introuvables, un autre webshell sera créé dans le dossier suivant en tant que fichiers ASPX au nom aléatoire.

C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\

Les attaquants utilisent le deuxième webshell pour lancer « createhidetask.exe », qui crée une tâche planifiée nommée « PowerManager » et lance l’exécutable « ApplicationUpdate.exe » à 1 heure du matin tous les jours.

Warren a déclaré que l’exécutable ApplicationUpdate.exe est un chargeur .NET personnalisé utilisé comme porte dérobée.

« ApplicationUpdate.exe est le chargeur .NET qui récupère un autre binaire .NET à partir d’un serveur distant (qui sert actuellement une charge utile bénigne) », a expliqué Warren.

Bien que la charge utile actuelle soit bénigne, elle devrait être remplacée par une charge utile malveillante une fois que suffisamment de serveurs sont compromis.

La société de renseignement sur la cybersécurité Bad Packets a déclaré qu’elle voyait actuellement des pirates informatiques rechercher des appareils ProxyShell vulnérables à partir d’adresses IP aux États-Unis, en Iran et aux Pays-Bas.

Les adresses connues sont:

  • 3.15.221.32
  • 194.147.142.0/24

BadPackets a également déclaré que les domaines de messagerie utilisés dans les analyses provenaient de @abc.com et @1337.com, comme indiqué ci-dessous.

bad packets microsoft exchange
Mauvais paquets détectant un scan de ProxyShell

Maintenant que les pirates informatiques exploitent activement les serveurs Microsoft Exchange vulnérables, Beaumont conseille aux administrateurs d’effectuer des requêtes Azure Sentinel pour vérifier si leurs appareils ont été analysés.

W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "PowerShell" | where csMethod == "POST"

Pour ceux qui n’ont pas mis à jour leur serveur Microsoft Exchange récemment, il est fortement recommandé de le faire immédiatement.

Comme les précédentes attaques ProxyLogon ont conduit à des ransomwares, des logiciels malveillants et des vols de données sur les serveurs exposés, nous verrons probablement des attaques similaires utilisant ProxyShell.

Laisser un commentaire