Selon une alerte publiée par les États-Unis. Agence de la cybersécurité et de la sécurité des infrastructures (CISA), les cybercriminels exploitent actuellement les vulnérabilités dites ProxyShell Microsoft Exchange: CVE-2021-34473, CVE-2021-34523, et CVE-2021-31207.
CISA met en garde contre les attaques ProxyShell
La les conseils avisés de l'agence est pour les organisations d'identifier les systèmes vulnérables sur leurs réseaux et de les corriger via la mise à jour de sécurité de Microsoft à partir de Mai 2021.
La mise à jour corrige les trois failles de ProxyShell et protège contre les attaques. Si les systèmes vulnérables restent non corrigés, les acteurs de la menace pourraient exploiter les failles pour exécuter du code arbitraire.
Les vulnérabilités ont été démontrées plus tôt cette année lors du concours de piratage Pwn2Own. En fait, l'exploit ProxyShell fait partie d'une chaîne plus étendue composée des exploits ProxyLogon et ProxyOracle.
Les vulnérabilités ProxyLogon
Les vulnérabilités ProxyLogon inclure CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, et CVE-2021-27065. Les versions concernées incluent Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, et Microsoft Exchange Server 2019.
Pour être initié avec succès, une attaque nécessite une connexion non approuvée à un port de serveur Exchange spécifique, 443. Cette faille peut être protégée en restreignant la connexion non approuvée, ou en mettant en place un VPN pour séparer le serveur de l'accès externe. Cependant, ces astuces d'atténuation n'offrent qu'une protection partielle. Les chercheurs en sécurité avertissent que d'autres parties de l'attaque en chaîne peuvent être déclenchées si un attaquant a déjà accès ou peut convaincre un administrateur d'exécuter un fichier malveillant.
L'exploit ProxyOracle
« Par rapport à ProxyLogon, ProxyOracle est un exploit intéressant avec une approche différente. En amenant simplement un utilisateur à visiter un lien malveillant, ProxyOracle permet à un attaquant de récupérer complètement le mot de passe de l'utilisateur au format texte brut,» chercheur en sécurité Orange Tsai a écrit il y a quelques mois. ProxyOracle se compose de deux bogues: CVE-2021-31195 et CVE-2021-31196.
En termes d'attaques actuelles basées sur l'exploit ProxyShell, hacker éthique Kevin Hanslovan a récemment tweeté qu'il “a vu 140+ Webshells à travers 1900+ boîtes non patchées en 48h. Les organisations impactées jusqu'à présent incluent la création de mfgs, transformateurs de fruits de mer, machinerie industrielle, ateliers de réparation automobile, un petit aéroport résidentiel et plus.” Pour répéter le conseil urgent de CISA, les organisations doivent identifier les réseaux vulnérables pour éviter ces attaques.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: