Proxyshell une nouvelle vulnérabilité Windows critique
Décidément les mois de juillet et août 2021 n’auront pas été de tout repos pour les administrateurs de systèmes ou sécurité Windows. En effet, après PrintNightmare voici une nouvelle vulnérabilité tout aussi importante appelée Proxyshell. Cette dernière a été découverte par Orange Tsai, chercheur en cybersécurité qui l’a présentée à la conférence Pwn2Own 2021.
Qu’est ce que Proxyshell ?
Proxyshell est un ensemble de vulnérabilités Windows qui peut permettre à une personne non authentifié d’exécuter des commandes arbitraires sur Microsoft Exchange Server via un port 443 exposé.
Lorsque l’attaque aboutit, elle permet le contrôle à distance du serveur ciblé ce qui peut avoir d’importants impacts pour les serveurs sensibles, comme autoriser l'accès à d'autres systèmes du réseau.
Une fois que le pirate est introduit, il peut réaliser toute activité malicieuse à sa guise incluant: ransomware, exfiltration de données, etc.
Il est composée des vulnérabilités suivants:
CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207
Attaque à distance sans avoir besoin d’avoir un accès valide dans votre réseau
Le succès de l’attaque Proxyshell implique une exécution de code malicieux sur le serveur victime. En général, l'exécution d’un code sur une machine requiert que l’utilisateur ait un compte valide, qu’il se connecte via son mot de passe avant d'exécuter son code. Avec Proxyshell, l’utilisateur n’a pas besoin d’avoir un compte sur la machine victime.
Le fait d’avoir une politique de mots de passe robuste ou de bien gérer les accès à votre réseau ne vous protège donc pas contre cette attaque.
Tentative d’exploitation massive de la faille
Selon le site THESTACK, des centaines de milliers de serveurs Microsoft Exchange sont vulnérables aux attaques de "ProxyShell" et des balayages actifs pour trouver ces serveurs sont observés. Il faut donc s’attendre à ce qu’il y ait plusieurs victimes si des mesures rapides ne sont pas prises pour appliquer les correctifs de sécurité, qui sont d’ailleurs disponibles depuis quelques mois.
Systèmes affectés
Les systèmes suivants sont affectés par ces vulnérabilités.
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
Si vous avez appliqué les mises à jour Windows du mois de Mai 2021 (KB5003435), vous pouvez considérer que la faille est corrigée.
Voici nos recommandations pour vous protéger contre cette faille
- Appliquer immédiatement les mises à jour de Microsoft pour corriger cette faille (KB5003435) si ce n’est pas déjà fait.
- Bloquer les communications externes vers le port 443 sur vos serveurs Exchange
- Mettre en place des mesures permettant d’autoriser uniquement l'exécution de scripts Powershell autorisés sur vos ordinateurs. Au-delà de la protection contre cette vulnérabilité, cette mesure vous protégera fortement contre les ransomwares car il y a de plus en plus de ransomwares exploitant Powershell.
- Vérifier si vos serveurs Exchange ont été balayés pour cette vulnérabilité, en recherchant les chaînes /autodiscover/autodiscover.json et /mapi/nspi/ dans les logs IIS. Si vous en trouvez, c’est que votre serveur a été balayé. Il sera important dans ce cas de faire une analyse approfondie du serveur afin d'identifier s’il a été piraté ou non. Ne négligez pas cette étape, car elle est très importante.
Pourquoi des correctifs sont disponibles depuis Mai 2021 et que c’est maintenant que la faille est divulguée?
Lorsque des failles de sécurité sont identifiées, le découvreur peut choisir de collaborer avec l’éditeur de la technologie concernée. Dans ce cas, la collaboration aboutit à la création d’un correctif de sécurité et qui va être rendu disponible.
Le découvreur et l’éditeur de la technologie s’entendent sur une date de divulgation de la vulnérabilité, pour permettre au maximum d’organisations d’appliquer les correctifs, avant qu’il ne soit connu du grand public. En effet, lorsqu’il est connu du grand public, s'ensuit des tentatives d’exploitation massives par les pirates.
C’est ce qu’on appelle la divulgation responsable de vulnérabilités et Streamscan adhère entièrement à cette approche car elle met la priorité sur la sécurité des organisations.
Pour information via ce processus, Karim Ganame de notre équipe a déjà aidé RSA à corriger une vulnérabilité de sécurité sur l’une de ces technologies de cybersécurité (ESA-2010-013 et CVE-2010-2634).
Comment Streamscan peut vous protéger?
- A l’échelle d'internet, ce type d’attaque va démarrer par un balayage de ports 24/7 sur Internet a la recherche de serveurs Exchange vulnérables. Cette technologie CDS est capable de détecter l’attaque a cette phase et de la contrecarrer.
- L’exploitation de l’attaque nécessite l'exécution d’un programme informatique sous forme de script (appelé webshell si elle cible des applications web). Notre technologie CDS est capable de détecter une cyberattaque à toutes ses phases, incluant les balayages de port et les tentatives d’injection de webshell/shellcode.
Lorsque le CDS détecte une telle attaque, elle peut le bloquer automatiquement via votre firewall, NAC ou tout autre dispositif de sécurité.
- Notre technologie CDS découvre en continu les vulnérabilités de sécurité existantes dans votre réseau, incluant PrintNightmare ou ProxyShell. Vous serez donc alertés automatiquement lorsque nous découvrons des serveurs vulnérables dans votre réseau.
- Notre technologie CDS peut surveiller en continu votre réseau afin de détecter les cyberattaques et les comportements anormaux ou suspects qui s’y produisent. Elle protège donc votre réseau 24/7 contre les cyberattaques.
- Via notre service MDR, nous gérons proactivement la sécurité de votre réseau, ce qui nous permet de vous alerter 24/7. Nous analysons les mouvements suspects et les attaques qui vous ciblent et les traitons en amont pour éviter qu’ils se transforment en problème. Nous agissons comme une extension de votre équipe TI et nous nous occupons de votre sécurité.
Besoin d’aide? StreamScan est là.
Que vous ayez besoin d'aide pour mener un audit de sécurité, élaborer un plan de sécurité ou mettre en œuvre une solution de Détection et Réponse Gérées (MDR), StreamScan dispose d'experts ayant plusieurs années d'expérience qui peuvent vous aider. Contactez-nous à l'adresse securitepme@streamscan.ai ou appelez-nous au +1 877 208-9040.