icetray - Fotolia
Serveurs Exchange : ProxyShell, des vulnérabilités au moins aussi préoccupantes que ProxyLogon
Trois semaines après leur exposition sous les feux de la rampe, les vulnérabilités ProxyShell sont exploitées activement pour déployer des webshells sur les systèmes affectés, ainsi que le ransomware LockFile.
ProxyShell, c’est trois vulnérabilités qui permettent l’exécution de code à distance sur les serveurs Microsoft Exchange affectés : CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207. L’ensemble partage un préfixe avec ProxyLogon, une autre série de vulnérabilités critiques des serveurs Exchange qui ont été révélées en mars.
Les trois vulnérabilités ProxyShell ont été corrigées en mai. Mais elles ont attiré l’attention début août, à l’occasion de la conférence Black Hat, lorsqu’un chercheur de Devcore répondant au pseudonyme Orange Tsa, s’est attaché à souligner les vulnérabilités des serveurs Exchange.
Trois semaines après cette présentation, l’agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA) alerte sur l’exploitation de ces vulnérabilités : « un attaquant exploitant ces vulnérabilités pourrait exécuter du code arbitraire sur une machine vulnérable. La CISA intime fortement aux organisations d’identifier les systèmes vulnérables sur leurs réseaux et d’appliquer immédiatement la mise à jour de sécurité de Microsoft du mois de mai 2021 – laquelle corrige les vulnérabilités ProxyShell – afin de se protéger de ces attaques ».
De son côté, Microsoft « recommande que les clients adoptent une stratégie pour s’assurer d’exécuter des versions supportées des logiciels et d’installer promptement les mises à jour de sécurité aussi tôt que possible, après chaque diffusion mensuelle ».
Sur le terrain, l’exploitation apparaît bien en cours. Le patron d’Huntress, Kyle Hanslovan, assurait ainsi récemment avoir observé plus de 140 webshells déployés sur plus de 1 900 systèmes affectés en l’espace de 48 heures. Et cela au sein d’organisations extrêmement variées. Rob Joyce, directeur cybersécurité de la NSA, a relayé les propos de Kyle Hanslovan et appelé les entreprises à surveiller leurs systèmes affectés et à y appliquer les correctifs.
Pour l’expert Kevin Beaumont, ProxyShell est « pire que ProxyLogon » et « plus exploitable ». Sur l’un de ses pots de miel, il a observé une attaque ayant conduit au déploiement du ransomware LockFile. Pour lui, Microsoft a minimisé la criticité des correctifs pour les vulnérabilités ProxyShell, en ne leur accordant pas la publicité qu’ils auraient méritée. Et de déplorer en outre que l’éditeur n’ait rendu publiques deux des vulnérabilités concernées qu’en juillet… alors que « beaucoup d’organisations gèrent les vulnérabilités suivant les CVE ».
Mi-août, près de 50 000 serveurs Exchange étaient encore affectés par les vulnérabilités ProxyShell selon une analyse de près de 240 000 serveurs accessibles directement sur Internet.