La moitié des serveurs MS Exchange menacés par la débâcle de ProxyShell
4 min read
Jusqu’à et peut-être plus de 50 % des serveurs Microsoft Exchange situés au Royaume-Uni semblent être vulnérables à trois vulnérabilités distinctes qui ont été corrigées il y a quelque temps, mais qui sont maintenant activement exploitées dans ce que l’on appelle Attaques ProxyShell suite à la divulgation d’exploits techniques chez Black Hat USA par le pirate Orange Tsai.
Selon Sky News, outre plusieurs milliers d’entreprises, les organisations à risque au Royaume-Uni comprennent des organismes gouvernementaux et des forces de police. Les trois bogues sont respectivement CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207.
Les analystes de Chasseresse Sécurité a expliqué que l’attaque enchaîne les vulnérabilités, donnant à un attaquant la possibilité d’effectuer une exécution de code à distance (RCE) non authentifiée. John Hammond de Huntress a déclaré qu’il avait identifié près de 2 000 serveurs vulnérables, bien que cela ait diminué au cours des derniers jours. Il a déclaré que le nombre de serveurs et de rapports compromis de l’entreprise s’élève désormais à environ 300.
“Nous commençons à voir un comportement post-exploitation composé de mineurs de pièces – semble être WannaMine – et de ransomware – LockFile – et nous continuons d’exhorter les organisations à effectuer des correctifs”, a déclaré Hammond.
« Nous examinons les fichiers journaux Exchange à partir de serveurs compromis et nous avons vu une poignée d’adresses IP interagir avec des shells Web pour une post-exploitation ultérieure. La plupart d’entre eux incluent un User-Agent (python-requests) qui indique que cela est automatisé, tandis que d’autres incluent un navigateur Web traditionnel qui indique qu’ils ont effectué une interaction manuelle.
“Huntress continuera à partager de nouvelles informations sur les menaces et des indicateurs de compromission au fur et à mesure que nous les trouverons dans notre propre article de blog et fil public Reddit,” il ajouta.
Claire Tills, ingénieur de recherche senior à Défendable, a déclaré que les acteurs malveillants auraient commencé à rechercher sur Internet des serveurs vulnérables dès que Tsai aurait fait sa présentation, et compte tenu de la “popularité” de les récentes vulnérabilités ProxyLogon – également divulgué par Tsai dans un premier temps – l’exploitation était inévitable.
« Ces vulnérabilités sont probablement populaires en raison de l’omniprésence de Microsoft Exchange – les acteurs de la menace savent qu’ils ont un plus grand potentiel d’attaques réussies en ciblant des services comme celui-ci. L’ancien succès des attaques utilisant ProxyLogon attire également les attaquants vers ProxyShell, en s’appuyant sur des attaques et des tactiques connues pour fonctionner », a-t-elle déclaré.
Échec des communications de crise
Cependant, les problèmes ne doivent pas être considérés comme une accusation pure et simple de tout défaut de correctif de la part des utilisateurs à risque, mais comme un échec apparent de la communication de Microsoft lui-même.
Au moment de la rédaction de cet article, les faits connus de cette affaire semblent montrer que si Microsoft a corrigé les deux premières vulnérabilités en avril 2021, il ne les a pas divulguées ni n’a attribué de numéro CVE (Common Vulnerability and Exposure) avant juillet. La troisième vulnérabilité a été à la fois corrigée et divulguée dans une mise à jour de mai.
Cela signifie que de nombreux utilisateurs auraient, sans faute de leur part, pensé que la mise à jour initiale était insignifiante et ne l’auraient pas appliquée, alors qu’en fait, les vulnérabilités se sont maintenant avérées beaucoup plus graves. Chercheur en sécurité Kevin Beaumont, qui suit ProxyShell depuis sa première divulgation, a décrit les messages de Microsoft sur les attaques – qu’il a décrits comme pires que ProxyLogon – comme « sciemment horribles ».
Oz Alashe, PDG et fondateur de CybSafe, a convenu que la réponse à ProxyShell laissait beaucoup à désirer. “Le manque de mesures correctives suite à l’exposition de ces vulnérabilités doit être une leçon sur l’importance de la messagerie et des comportements de sécurité vigilants”, a-t-il déclaré.
« Ces lacunes dans nos défenses apparaîtront toujours, mais ce qui compte, c’est la rapidité et la clarté de la réponse. Toute ambiguïté peut entraîner le non-déploiement de mises à jour logicielles vitales et exposer les organisations à des acteurs malveillants et à des attaques de ransomware.
“Avec Gov.uk et Police.uk parmi les domaines toujours sans la mise à jour nécessaire du serveur de messagerie Microsoft, les conséquences de ne pas traiter ces vulnérabilités sont claires”, a déclaré Alashe. « Garder un logiciel à jour est un moyen simple mais très efficace de réduire notre cyber-risque, et les organisations doivent s’assurer de transmettre son importance avec rapidité et clarté. »
Veritas Ian Wood, responsable de la technologie pour le Royaume-Uni et l’Irlande, a ajouté : « La plupart des administrateurs informatiques détestent les correctifs autant que les utilisateurs finaux détestent les mises à niveau logicielles pour leurs appareils – parfois ils ne s’installent pas correctement, parfois ils cassent des choses, et souvent ils sont tout simplement perturbateur.
« De plus, et ce qui peut être le plus problématique, ils nécessitent une compréhension approfondie de ce qui doit être corrigé, où et quand. Alors que de plus en plus d’attaques de ransomware conduisent à la découverte de plus de vulnérabilités et, à leur tour, à la création de plus de correctifs, il est facile pour le tout de devenir incontrôlable. Il n’est donc pas étonnant que tant de systèmes ne soient pas entièrement corrigés.
