Microsoft Exchange et ProxyShell : des attaques sont en cours, en France

D'après les informations publiées sur le site CERT-FR, des entités françaises sont visées dans le cadre d'attaques qui s'appuient sur l'exploitation des vulnérabilités ProxyShell, présentent sur les serveurs de messagerie Microsoft Exchange. Dans le même esprit,  j'ai décidé d'en remettre une couche pour vous avertir !

Bien qu'elles soient connues depuis plusieurs mois et que Microsoft a déjà publié des correctifs, il semblerait qu'il y ait encore des serveurs Exchange vulnérables aux failles de sécurité ProxyShell. Des campagnes d'attaques sont en cours, en France et ailleurs, notamment dans le but d'exécuter le ransomware LockFile sur les serveurs de la victime.

Derrière le nom ProxyShell se cache trois vulnérabilités :

Des travaux récents ont permis de déterminer que l'exploitation en chaîne de ces trois failles de sécurité permet de prendre le contrôle d'un serveur Exchange à distance.

Les failles ProxyShell sont-elles corrigées par Microsoft ?

La réponse est "oui" ! Et, c'est tant mieux ! En mai dernier, Microsoft a corrigé la faille de sécurité CVE-2021-31207, tandis que les deux autres ont eu le droit à un correctif en juillet. À ce jour, il est possible de protéger complètement son serveur Exchange contre les vulnérabilités ProxyShell. Pour cela, il faut prendre le temps de passer les mises à jour.

Des correctifs sont disponibles pour les versions suivantes d'Exchange :

  • Exchange 2013 CU 23
  • Exchange 2016 CU 19 et CU 20
  • Exchange 2019 CU 8 et CU 9

Si vous utilisez un serveur Exchange et qu'il est accessible depuis Internet, il est fortement recommandé de le mettre à jour sans plus attendre !

Mon serveur Exchange est-il victime de ProxyShell ?

Difficile de répondre à cette question, mais vous pouvez déjà regarder si votre serveur Exchange a été scanné. S'il a été scanné avant d'être patché, dans ce cas menez vos investigations un peu plus loin.

Pour vérifier s'il a été scanné, je vais relayer les conseils publiés sur le site CERT-FR : "Le chercheur en sécurité Kevin Beaumont a conseillé de vérifier la présence des motifs « /autodiscover/autodiscover.json » et « /mapi/nspi/ » dans les journaux pour identifier si le serveur a fait l’objet d’une reconnaissance."

À vous de jouer et n'hésitez pas à partager un maximum pour faire circuler l'info !

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3208 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.