ProxyShell : Exploitation en chaîne de trois vulnérabilités sur les serveurs Microsoft Exchange.
Le jeudi 5 août 2021, le chercheur en sécurité Orange Tsai a dévoilé plus de détails concernant trois vulnérabilités déjà connues, qui lorsqu’elles sont exploitées en chaîne, permettent de prendre le contrôle d’un serveur Exchange à distance.
Ces vulnérabilités sont les suivantes :
- CVE-2021-34473 : permet à un attaquant non authentifié de contourner les listes de contrôle d’accès (ACL) ;
- CVE-2021-34523 : permet à un attaquant d’élever ses privilèges ;
- CVE-2021-31207 : permet à un attaquant une écriture de fichier arbitraire, ce qui conduit à une exécution de code arbitraire à distance.
Le CERT-FR a connaissance de campagnes de recherches actives sur Internet ciblant les serveurs Exchange pour ces vulnérabilités.
Le chercheur en sécurité Kevin Beaumont a conseillé de vérifier la présence des motifs « /autodiscover/autodiscover.json » et « /mapi/nspi/ » dans les journaux pour identifier si le serveur a fait l’objet d’une reconnaissance.
Les correctifs pour les vulnérabilités CVE-2021-34473 et CVE-2021-34523 ont été déployés par Microsoft en avril 2021. Toutefois l’éditeur ne les a publiquement annoncés qu’à l’occasion de sa mise à jour de juillet 2021.
La vulnérabilité CVE-2021-31207 a quant à elle été corrigée en mai 2021.
En date du 12 août 2021, des preuves de concept sont publiquement disponibles pour certaines parties de la chaîne d’exploitation. De plus, le CERT-FR a constaté que de nombreux serveurs Exchange sur Internet n’ont pas été mis à jour, et sont donc vulnérables à cette attaque.
Les correctifs sont disponibles depuis plusieurs mois, et le CERT-FR anticipe la disponibilité prochaine de codes implémentant la chaîne d’exploitation complète sur Internet. En conséquence, le CERT-FR insiste sur la nécessité d’appliquer les correctifs dans les plus brefs délais.
Documentation
- Avis CERT-FR CERTFR-2021-AVI-369 du 12 mai 2021
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-369/ - Bulletin de sécurité Microsoft du 11 mai 2021
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207 - Avis CERT-FR CERTFR-2021-AVI-522 du 15 juillet 2021
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-522/ - Bulletin de sécurité CERTFR CERTFR-2021-ACT-030/ du 19 juillet 2021
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-030/
Rappel des avis émis
Dans la période du 02 au 08 août 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-AVI-584 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-585 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-586 : Vulnérabilité dans Mitel Interaction Recording
- CERTFR-2021-AVI-587 : Multiples vulnérabilités dans Google Chrome OS
- CERTFR-2021-AVI-588 : Vulnérabilité dans MongoDB
- CERTFR-2021-AVI-589 : Multiples vulnérabilités dans Juniper Junos Space Log Collector
- CERTFR-2021-AVI-590 : Multiples vulnérabilités dans Google Android
- CERTFR-2021-AVI-591 : [SCADA] Multiples vulnérabilités dans ARC Informatique PcVue
- CERTFR-2021-AVI-592 : Vulnérabilité dans IBM AIX
- CERTFR-2021-AVI-593 : Multiples vulnérabilités dans Elasticsearch
- CERTFR-2021-AVI-594 : Multiples vulnérabilités dans GitLab
- CERTFR-2021-AVI-595 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-596 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2021-AVI-597 : Vulnérabilité dans Aruba ALE
- CERTFR-2021-AVI-598 : Multiples vulnérabilités dans les produits Fortinet
- CERTFR-2021-AVI-599 : [SCADA] Multiples vulnérabilités dans les produits Siemens
- CERTFR-2021-AVI-600 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2021-AVI-601 : Multiples vulnérabilités dans Microsoft Edge
- CERTFR-2021-AVI-602 : Multiples vulnérabilités dans le noyau Linux de SUSE
- CERTFR-2021-AVI-603 : Multiples vulnérabilités dans Pulse Connect Secure
- CERTFR-2021-AVI-604 : Multiples vulnérabilités dans les produits VMware
- CERTFR-2021-AVI-605 : Vulnérabilité dans F5 BIG-IP