ProxyShell : Exploitation en chaîne de trois vulnérabilités sur les serveurs Microsoft Exchange.

Le jeudi 5 août 2021, le chercheur en sécurité Orange Tsai a dévoilé plus de détails concernant trois vulnérabilités déjà connues, qui lorsqu’elles sont exploitées en chaîne, permettent de prendre le contrôle d’un serveur Exchange à distance.

Ces vulnérabilités sont les suivantes :

  • CVE-2021-34473 : permet à un attaquant non authentifié de contourner les listes de contrôle d’accès (ACL) ;
  • CVE-2021-34523 : permet à un attaquant d’élever ses privilèges ;
  • CVE-2021-31207 : permet à un attaquant une écriture de fichier arbitraire, ce qui conduit à une exécution de code arbitraire à distance.

Le CERT-FR a connaissance de campagnes de recherches actives sur Internet ciblant les serveurs Exchange pour ces vulnérabilités.

Le chercheur en sécurité Kevin Beaumont a conseillé de vérifier la présence des motifs « /autodiscover/autodiscover.json » et « /mapi/nspi/ » dans les journaux pour identifier si le serveur a fait l’objet d’une reconnaissance.

Les correctifs pour les vulnérabilités CVE-2021-34473 et CVE-2021-34523 ont été déployés par Microsoft en avril 2021. Toutefois l’éditeur ne les a publiquement annoncés qu’à l’occasion de sa mise à jour de juillet 2021.

La vulnérabilité CVE-2021-31207 a quant à elle été corrigée en mai 2021.

En date du 12 août 2021, des preuves de concept sont publiquement disponibles pour certaines parties de la chaîne d’exploitation. De plus, le CERT-FR a constaté que de nombreux serveurs Exchange sur Internet n’ont pas été mis à jour, et sont donc vulnérables à cette attaque.

Les correctifs sont disponibles depuis plusieurs mois, et le CERT-FR anticipe la disponibilité prochaine de codes implémentant la chaîne d’exploitation complète sur Internet. En conséquence, le CERT-FR insiste sur la nécessité d’appliquer les correctifs dans les plus brefs délais.

Documentation

 

Rappel des avis émis

Dans la période du 02 au 08 août 2021, le CERT-FR a émis les publications suivantes :