Exchange : la famille des failles Proxy- s’agrandit

Sécurité : Le chercheur en sécurité à l’origine de la découverte des failles ProxyLogon sur Exchange a présenté ses travaux lors de la Black Hat et détaillé d’autres failles dans le serveur de messagerie de Microsoft, dont les correctifs sont cette fois disponibles. Cela n’empêche pas les cybercriminels de tenter de les exploiter.

Suite aux révélations des failles Proxylogon au mois de mars, un effort intense a été fourni par les administrateurs, l’éditeur et les autorités pour diffuser le patch correctif. Mais Proxylogon n’était peut-être que la face visible de l’iceberg. Orange Tsai, le chercheur a l’origine de la découverte des failles Exchange du mois de mars, a donné une présentation à l’occasion de la conférence Blackhat sur les autres failles découvertes dans le cadre de ses recherches sur Exchange.

Dans la famille Proxy, je demande l’oracle

Baptisées ProxyShell et ProxyOracle, ces nouvelles attaques sur Exchange regroupent au total cinq vulnérabilités pouvant être exploitées conjointement afin de parvenir à une compromission totale de l’appareil (ProxyShell) ou à une divulgation du mot de passe de l’utilisateur (ProxyOracle.) Contrairement aux failles ProxyLogon de mars, Microsoft a cette fois publié des patchs correctifs pour les vulnérabilités en question.

ProxyOracle a été découvert par le chercheur au mois de janvier 2021 et s’appuie sur deux failles, CVE 2021-31196 et CVE 2021-31195. Comme l’explique le chercheur dans un post de blog, ces deux failles permettent de décrypter le mot de passe d’un utilisateur contenu dans le token d’authentification pour Exchange. La faille CVE-2021-31196 permet de décrypter le mot de passe contenu dans le cookie, et la faille CVE-2021-31195 permet à l’attaquant de créer un lien malveillant lui permettant de voler le cookie d’un utilisateur simplement en poussant ce dernier à cliquer sur le lien.

Si un administrateur est visé, ces deux vulnérabilités peuvent donc être utilisées pour voler les identifiants d’un utilisateur privilégié sur le serveur Exchange. Les deux vulnérabilités ont été corrigées par Microsoft dans deux de ses correctifs mensuels, celui de juillet et celui de mai.

ProxyShell, un cousin bien plus inquiétant

ProxyShell est une autre paire de manches : si ProxyOracle permet d’obtenir le mot de passe d’un utilisateur, ProxyShell permet de son côté l’exécution de code à distance sur l’appareil visé, à la manière des failles Proxylogon découverte en mars. Les trois vulnérabilités utilisées dans le cadre de cette attaque sont les CVE 2021-34473, CVE-2021-34523 et CVE-2021-31207. Ces failles ont été découvertes et révélées par le chercheur lors du concours Pwn2Own d’avril, ce qui a permis à Microsoft de les corriger dans les patch tuesday des mois d’avril et de mai, tout en rapportant au passage une prime de 200 000 dollars au chercheur. Les détails techniques de la faille ont été dévoilés publiquement à l’occasion de la conférence donnée par Orange Tsai la semaine dernière à la conférence BlackHat.

En exploitant ces trois failles, un attaquant peut parvenir à exécuter du code arbitraire sur le serveur Exchange, ouvrant la voie à une potentielle exploitation malveillante. Ces différentes failles affectent les versions d’Exchange 2013, 2016 et 2019 dans leurs versions on premise. Pour l’instant, aucune exploitation malveillante n’a été constatée selon les avis de Microsoft sur le sujet, mais comme le soulignent Bleeping Computer et le chercheur Kevin Beaumont, des groupes scannent activement internet à la recherche d’installation vulnérable d’Exchange.

Pour l’instant, les tentatives d’exploitations de ces failles sont restées sans succès, mais les groupes malveillants tentent visiblement de mettre au point un exploit fonctionnel s’appuyant sur ces failles pour viser les appareils vulnérables. Selon le moteur de recherche Shodan, le nombre d’appareils vulnérables s’élève à plus de 30 000 machines, signe que les correctifs de sécurité d’avril et de mai n’ont pas été appliqués par les administrateurs. La révélation publique de ces vulnérabilités et des tentatives d’exploitation par des acteurs malveillants devrait accélérer la cadence.

Source : ZDNet.com

Catégories