www.belgium.be Logo of the federal government

Les Serveurs Microsoft Exchange activement scannés pour detecter les vulnerabilités ProxyShell

Référence: 
Avis #2021-015
Version: 
1.0
Logiciels concernés : 
Microsoft Exchange's Client Access Service (CAS)
Type: 
Exécution de code à distance non authentifiée
CVE/CVSS: 
  1. CVE-2021-34473 : la confusion qui entoure le pre-auth path entraîne un bypass de l'ACL (corrigé en avril par KB5001779)
  2. CVE-2021-34523 : extension de Privilege sur le backend PowerShell d'Exchange (corrigé en avril par KB5001779)
  3. CVE-2021-31207 : l’élaboration d'un fichier arbitraire post-auth entraîne un RCE (corrigé en mai par KB5003435)
  4. CVE-2021-31206 : vulnérabilité de Microsoft Exchange Server lors de l’exécution du code à distance (corrigé en juillet par KB5004780)

Sources

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/

https://peterjson.medium.com/reproducing-the-proxyshell-pwn2own-exploit-49743a4ea9a1 (Proof-Of-Concept)

Risques

ProxyShell est une chaîne de trois vulnérabilités qui, lorsqu'elles sont exploitées par un attaquant, permettent l'exécution de codes à distance non authentifiée sur le serveur Microsoft Exchange vulnérable. Une exploitation réussie peut entraîner une prise de contrôle du serveur et avoir un impact significatif sur l'ensemble de la triade CIA (Confidentialité, Intégrité, Disponibilité), selon ce que fait le pirate informatique après l'exploitation.

Description

L'attaque ProxyShell enchaîne trois vulnérabilités (parfois jusqu'à quatre) pour effectuer une exécution de code à distance non authentifiée sur des serveurs Microsoft Exchange ;

  1. CVE-2021-34473 : la confusion qui entoure le pre-auth path entraîne un bypass de l'ACL (corrigé en avril par KB5001779)
  2. CVE-2021-34523 : extension de Privilege sur le backend PowerShell d'Exchange (corrigé en avril par KB5001779)
  3. CVE-2021-31207 : l’élaboration d'un fichier arbitraire post-auth entraîne un RCE (corrigé en mai par KB5003435)
  4. CVE-2021-31206 : vulnérabilité de Microsoft Exchange Server lors de l’exécution du code à distance (corrigé en juillet par KB5004780)

ProxyShell cible spécifiquement le service « Microsoft Exchange Autodiscover », qui a été mis en place pour permettre aux logiciels clients de messagerie de configurer automatiquement l'accès nécessitant une intervention minime de l'utilisateur.

Le 6 août, les attaquants ont modifié leurs scans pour utiliser une « nouvelle » URL Autodiscover ;

https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

Grâce à cette technique, les acteurs de la menace ont réussi à détecter des systèmes vulnérables car elle déclenche la compilation de l'application Internet ASP.NET.

Actions recommandées

CERT.be recommande d'installer les dernières mise à jour cumulatives afin de protéger les systèmes contre ces vulnérabilités et de réduire le risque d’exploitation.

Si c’est impossible en raison de la version d'Exchange ou de dépendances, veuillez vous référer aux CVE et à leurs guides de mise à jour KB respectifs.

  • CVE-2021-34473 : la confusion qui entoure le pre-auth path entraîne un bypass de l'ACL (corrigé en avril par KB5001779)
  • CVE-2021-34523 : extension de Privilege sur le backend PowerShell d'Exchange (corrigé en avril par KB5001779)
  • CVE-2021-31207 : l’élaboration d'un fichier arbitraire post-auth entraîne un RCE (corrigé en mai par KB5003435)
  • CVE-2021-31206 : vulnérabilité de Microsoft Exchange Server lors de l’exécution du code à distance (corrigé en juillet par KB5004780)

Vérifier les activités de scanning

Il est conseillé aux administrateurs d'Exchange Server d'utiliser Azure Sentinel, si c’est disponible, pour vérifier les logs IIS à la recherche des chaînes« ‘/autodiscover/autodiscover.json » ou « /mapi/nspi/" ».

W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "/mapi/nspi/"

Si l'URL Autodiscover ciblée est renvoyée, le serveur a probablement été scanné afin de détecter les vulnérabilités.