Un nouvel exploit ProxyNotShell pour compromettre massivement les serveurs Microsoft Exchange

À l'occasion du Patch Tuesday de Novembre 2022, Microsoft a corrigé les vulnérabilités ProxyNotShell au sein d'Exchange Server. Toutefois, ces vulnérabilités restent très exploitées et un nouvel exploit est disponible : de quoi permettre une exploitation massive.

Depuis plusieurs semaines, on entend parler des failles de sécurité ProxyNotShell puisqu'elles sont connues depuis septembre 2022. Associé aux références CVE-2022-41082 et CVE-2022-41040, ces vulnérabilités permettent à un attaquant d'effectuer une élévation de privilèges et de compromettre le serveur de messagerie Exchange. Pour rappel, ces vulnérabilités affectent Exchange Server 2013, 2016 et 2019.

Pour se protéger, il convient de mettre à jour son serveur Exchange de manière à bénéficier des derniers correctifs de sécurité. En complément, vous pouvez mettre en place l'outil gratuit CrowdSec afin de bloquer les attaques courantes ainsi que les attaques plus spécifiques comme celle-ci. J'en ai parlé récemment dans un article dédié, à l'occasion de ma série d'articles sur l'installation et la configuration d'Exchange.

Le chercheur en sécurité Janggggg a mis en ligne un exploit PoC utilisé par des pirates dans le cadre d'attaques et qui permet de déployer une porte dérobée sur les serveurs Exchange. Dans le même temps, Will Dormann a testé cet exploit et il a confirmé qu'il fonctionnait contre les serveurs Exchange Server 2016 et 2019. Pour qu'il fonctionne avec Exchange Server 2013, il est nécessaire de faire quelques ajustements dans le code.

La tendance est claire : les cybercriminels cherchent à exploiter les vulnérabilités ProxyNotShell pour compromettre des serveurs Exchange et l'utiliser comme point de connexion initial dans le but de compromettre le reste de l'infrastructure. Ce nouvel exploit est la preuve que la menace est réelle.

Dans certains cas, comme l'a révélé l'entreprise GreyNoise, l'objectif est de déployer le web shell Chinese Chopper après avoir exploité les deux CVE citées précédemment (l'exploitation en chaîne de ces deux failles est nécessaire pour compromettre le serveur).

Si vous avez un serveur Exchange, pensez à le mettre à jour sans plus attendre.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5543.Voir tous les posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.