Sécurité : Les détails de cette attaque ont été dévoilés à l’occasion de la conférence Blackhat par le chercheur Orange Tsai. Assez similaires aux failles Exchange découvertes en début d’année, ces trois vulnérabilités permettent à un attaquant de prendre le contrôle d’un serveur Exchange.
Il aura fallu un peu moins d’une dizaine de jours avant que les cybercriminels s’en emparent : à l’occasion de la conférence Blackhat qui avait lieu au début du mois, le chercheur Orange Tsai a dévoilé les détails de nouvelles failles de sécurité affectant les versions on premise d’Exchange, basées sur des principes similaires aux failles ProxyLogon qu’il avait découvertes et signalées au mois de mars. Baptisées ProxyOracle et ProxyShell, ces failles ont été corrigées par Microsoft dans différents correctifs diffusés entre avril et juillet.
Parmi elles, l’attaque ProxyShell était celle ayant le plus d’impact : celle ci exploite trois vulnérabilités dans les serveurs Exchange permettant de prendre le contrôle à distance du serveur et d’exécuter du code sur la machine. Les trois failles concernées sont les CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207. Celles-ci ont été découvertes par le chercheur Orange Tsai, qui les avait révélées à Microsoft à l’occasion de l’édition 2021 du concours Pwn2Own. publicité
Du scan à l’exploitation
Peu de temps après la diffusion des détails techniques concernant l’exploitation de ces failles, le chercheur Kevin Beaumont avait indiqué sur Twitter que ses honeypots avaient détecté les premières tentatives de scan provenant de personnes qui souhaitaient identifier les machines vulnérables à cette attaque.
Un constat confirmé par les équipes du CERTFR, qui ont publié hier un avis concernant cette nouvelle attaque indiquant que « le CERT-FR a connaissance de campagnes de recherches actives sur Internet ciblant les serveurs Exchange pour ces vulnérabilités. » Le bulletin du CERTFR indique également que des preuves de concept sont publiquement disponibles pour certaines parties de la chaîne d’exploitation et que de nombreux serveurs Exchange sont vulnérables. Le CERTFR invite donc les administrateurs à corriger rapidement ces vulnérabilités.
Comme le révèle BleepingComputer, les cybercriminels sont maintenant passés à la vitesse supérieure et exploitent activement la faille de sécurité pour compromettre les serveurs Exchange vulnérables afin d’y installer un shell web, qui peut ensuite leur permettre d’exécuter du code sur l’appareil compromis. Le magazine en ligne s’appuie sur les déclarations des chercheurs Kevin Beaumont et Rich Warren, chercheur du groupe NCC, qui ont tous deux indiqué sur twitter avoir constaté des tentatives d’exploitations visant les honeypots qu’ils avaient déployés pour détecter ces attaques. Un honeypot est une ressource informatique exposée sur Internet et destinée à être utilisée comme « leurre » afin de détecter des tentatives d’attaques.
Les leurres ont donc parlé et indiquent que des cybercriminels tentent de compromettre les appareils vulnérables à ce type d’attaque. On ne sait pas exactement quel est le but de ces tentatives d’attaques, au-delà de l’installation d’un shell web qui permet aux attaquants de conserver un accès à la machine compromise et de la réexploiter par la suite. Les failles ProxyLogon ayant donné lieu à des attaques au ransomware et à du vol de données, pas de raison que ProxyShell donne lieu à des exploitations différentes.
Source : net.fr/actualites/