ProxyShell : Exploitation en chaîne de trois vulnérabilités sur les serveurs Microsoft Exchange.
Le jeudi 5 août 2021, le chercheur en sécurité Orange Tsai a dévoilé plus de détails concernant trois vulnérabilités déjà connues, qui lorsqu'elles sont exploitées en chaîne, permettent de prendre le contrôle d'un serveur Exchange à distance.Ces vulnérabilités sont les suivantes :
- CVE-2021-34473 : permet à un attaquant non authentifié de contourner les listes de contrôle d'accès (ACL) ;
- CVE-2021-34523 : permet à un attaquant d'élever ses privilèges ;
- CVE-2021-31207 : permet à un attaquant une écriture de fichier arbitraire, ce qui conduit à une exécution de code arbitraire à distance.
Le chercheur en sécurité Kevin Beaumont a conseillé de vérifier la présence des motifs "/autodiscover/autodiscover.json" et "/mapi/nspi/" dans les journaux pour identifier si le serveur a fait l'objet d'une reconnaissance.
Les correctifs pour les vulnérabilités CVE-2021-34473 et CVE-2021-34523 ont été déployés par Microsoft en avril 2021. Toutefois l'éditeur ne les a publiquement annoncés qu'à l'occasion de sa mise à jour de juillet 2021.
La vulnérabilité CVE-2021-31207 a quant à elle été corrigée en mai 2021.
En date du 12 août 2021, des preuves de concept sont publiquement disponibles pour certaines parties de la chaîne d'exploitation. De plus, le CERT-FR a constaté que de nombreux serveurs Exchange sur Internet n'ont pas été mis à jour, et sont donc vulnérables à cette attaque.
Les correctifs sont disponibles depuis plusieurs mois, et le CERT-FR anticipe la disponibilité prochaine de codes implémentant la chaîne d'exploitation complète sur Internet. En conséquence, le CERT-FR insiste sur la nécessité d'appliquer les correctifs dans les plus brefs délais.
Documentation
- Avis CERT-FR CERTFR-2021-AVI-369 du 12 mai 2021 /avis/CERTFR-2021-AVI-369/
- Bulletin de sécurité Microsoft du 11 mai 2021 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207
- Avis CERT-FR CERTFR-2021-AVI-522 du 15 juillet 2021 /avis/CERTFR-2021-AVI-522/
- Bulletin de sécurité CERTFR CERTFR-2021-ACT-030/ du 19 juillet 2021 /actualite/CERTFR-2021-ACT-030/