Les acteurs menaçants mènent activement des actions opportunistes balayage et exploitation des serveurs Exchange utilisant une nouvelle chaîne d’exploits exploitant un trio de failles affectant les installations sur site, ce qui en fait le dernier ensemble de bogues après que les vulnérabilités ProxyLogon ont été exploitées en masse au début de l’année.

Les failles d’exécution de code à distance ont été collectivement surnommées « ProxyShell ». Au moins 30 000 machines sont concernées par les vulnérabilités, selon à une analyse Shodan réalisée par Jan Kopriva du SANS Internet Storm Center.

« Commencé à voir des tentatives d’exploitation sauvages contre notre infrastructure de pot de miel pour les vulnérabilités Exchange ProxyShell », Richard Warren de NCC Group tweeté, notant que l’une des intrusions a entraîné le déploiement d’un « webshell C# aspx dans le répertoire /aspnet_client/ ».

Patché début mars 2021, Connexion proxy est le surnom de CVE-2021-26855, une vulnérabilité de contrefaçon de demande côté serveur dans Exchange Server qui permet à un attaquant de prendre le contrôle d’un serveur vulnérable en tant qu’administrateur, et qui peut être enchaîné avec un autre fichier arbitraire post-authentification vulnérabilité, CVE-2021-27065, pour réaliser l’exécution de code.

Les vulnérabilités ont été révélées après que Microsoft a dévoilé une opération de piratage parrainée par Pékin qui a exploité les faiblesses pour frapper des entités aux États-Unis dans le but d’exfiltrer des informations dans ce que la société a décrit comme des attaques limitées et ciblées.

Depuis lors, le fabricant de Windows a corrigé six autres failles dans son composant de serveur de messagerie, dont deux sont appelées ProxyOracle, qui permet à un adversaire de récupérer le mot de passe de l’utilisateur au format texte brut.

Trois autres problèmes, connus sous le nom de ProxyShell, pourraient être exploités pour contourner les contrôles ACL, élever les privilèges sur le backend Exchange PowerShell, authentifier efficacement l’attaquant et permettre l’exécution de code à distance. Microsoft a noté que CVE-2021-34473 et CVE-2021-34523 ont été omis par inadvertance de la publication jusqu’en juillet.

Connexion proxy :

• CVE-2021-26855 – Vulnérabilité d’exécution de code à distance de Microsoft Exchange Server (corrigée le 2 mars)
• CVE-2021-26857 – Vulnérabilité d’exécution de code à distance de Microsoft Exchange Server (corrigée le 2 mars)
• CVE-2021-26858 – Vulnérabilité d’exécution de code à distance de Microsoft Exchange Server (corrigée le 2 mars)
• CVE-2021-27065 – Vulnérabilité d’exécution de code à distance de Microsoft Exchange Server (corrigée le 2 mars)

ProxyOracle :

• CVE-2021-31195 – Vulnérabilité d’exécution de code à distance de Microsoft Exchange Server (correctif le 11 mai)
• CVE-2021-31196 – Vulnérabilité d’exécution de code à distance de Microsoft Exchange Server (corrigée le 13 juillet)

ProxyShell :

• CVE-2021-31207 – Vulnérabilité de contournement des fonctionnalités de sécurité de Microsoft Exchange Server (correctif le 11 mai)
• CVE-2021-34473 – Vulnérabilité d’exécution de code à distance de Microsoft Exchange Server (correctif le 13 avril, avis publié le 13 juillet)
• CVE-2021-34523 – Vulnérabilité d’élévation des privilèges de Microsoft Exchange Server (correctif le 13 avril, avis publié le 13 juillet)

Autre:

• CVE-2021-33768 – Vulnérabilité d’élévation des privilèges de Microsoft Exchange Server (correctif le 13 juillet)

Démontré à l’origine lors du concours de piratage Pwn2Own en avril, les détails techniques de la chaîne d’attaque ProxyShell ont été divulgués par le chercheur de DEVCORE Orange Tsai lors de la Black Hat USA 2021 et DEF CON conférences sur la sécurité la semaine dernière. Pour éviter les tentatives d’exploitation, il est fortement recommandé aux organisations d’installer les mises à jour publiées par Microsoft.