Cyberattaque

Plus de 60 000 serveurs Exchange vulnérables aux attaques ProxyNotShell

Par Philippe Ternision , le 4 janvier 2023 , mis à jour le 4 janvier 2023 - 3 minutes de lecture
failles exchange
5/5 - (1 vote)

L’une des deux failles de sécurité visées par les exploits de ProxyNotShell, la vulnérabilité CVE-2022-41082 d’exécution de code à distance (RCE) affecte plus de 60 000 serveurs Microsoft Exchange accessibles publiquement en ligne.

Près de 70 000 serveurs Microsoft Exchange ont été découverts vulnérables aux attaques ProxyNotShell, selon les informations de version (l’en-tête de version x owa des serveurs), d’après un récent tweet de chercheurs en sécurité de la Shadowserver Foundation, une organisation à but non lucratif qui se consacre à l’amélioration de la sécurité sur Internet.

Cependant, selon de nouvelles informations publiées lundi, il y a maintenant 60 865 serveurs Exchange vulnérables de moins qu’à la mi-décembre, lorsqu’il y avait 83 946 cas.

Exchange servers vulnerable to ProxyNotShell attacks
Les serveurs Exchange vulnérables aux attaques ProxyNotShell (Shadowserver Foundation)

Les serveurs Exchange 2013, 2016 et 2019 sont concernés par les deux failles de sécurité connues sous le nom de ProxyNotShell (CVE-2022-41082 et CVE-2022-41040).

Les attaquants sur des serveurs compromis ont la possibilité d’élever leurs privilèges et d’obtenir une exécution de code arbitraire ou à distance si l’exploit est réussi.

Même si les attaques ProxyNotShell ont été observées dans la nature depuis au moins septembre 2022, Microsoft a fourni des mises à jour de sécurité pour corriger les failles lors du Patch Tuesday de novembre 2022.

Depuis le 30 septembre, la société de renseignement sur les menaces GreyNoise surveille l’exploitation continue de ProxyNotShell et a fourni des détails sur les activités d’analyse de l’outil ainsi qu’une liste d’adresses IP connectées aux assauts.

.

Map of Exchange servers unpatched against ProxyNotShell
Carte des serveurs Exchange non patchés contre ProxyNotShell (Shadowserver Foundation)

Des milliers de serveurs sont également exposés aux attaques ProxyShell et ProxyLogon

Vous devez installer les mises à jour de ProxyNotShell que Microsoft a publiées en novembre pour protéger vos serveurs Exchange contre les menaces entrantes.

Bien que l’entreprise ait également proposé des stratégies d’atténuation, les attaquants peuvent toujours les contourner. Ainsi, seuls les serveurs qui ont été entièrement corrigés sont à l’abri des attaques.

Les acteurs de la menace du ransomware Play utilisent maintenant une nouvelle chaîne d’attaque, comme l’a révélé Hfrance le mois dernier, pour contourner les mesures d’atténuation de la réécriture d’URL de ProxyNotShell et obtenir l’exécution de code à distance sur les serveurs affectés via Outlook Web Access (OWA).

Pour aggraver les choses, une recherche sur Shodan révèle un nombre considérable de serveurs Exchange exposés en ligne, avec des milliers de serveurs non protégés contre les deux vulnérabilités les plus exploitées en 2021, ProxyShell et ProxyLogon.

Exchange servers exposed online
Serveurs Exchange exposés en ligne (Shodan)

Les serveurs Exchange sont des cibles intéressantes, comme l’a montré le groupe de cybercriminels FIN7, motivé par des raisons financières, en créant une plate-forme d’attaque automatique spécialisée appelée Checkmarks, destinée à compromettre les serveurs Exchange.

Selon la société de renseignement sur les menaces Prodaft, qui a découvert la plate-forme, celle-ci recherche et attaque plusieurs vulnérabilités d’exécution de code à distance et d’élévation de privilèges de Microsoft Exchange, notamment CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207.

Après avoir analysé plus de 1,8 million de cibles, la nouvelle plateforme de FIN7 a déjà été utilisée pour compromettre 8 147 entreprises, dont la majorité est située aux États-Unis (16,7 %).

 

 

 

  • QNAP TS-431K - serveur NAS
    Les snapshots enregistrent la totalité de l'état du système et des données, ce qui vous permet de protéger vos données et fichiers contre la suppression accidentelle et les attaques de programmes malveillantsConnectez le NAS aux appareils USB externes tels que les lecteurs de carte, les imprimantes ou une alimentation sans interruption via le port USB 3.2 Gen 1 pour maximiser le potentiel des applicationsPuissant processeur délivre des performances exceptionnelles Alimenté par un puissant processeur, le TS-431K fournit un espace de stockage avec 4 baies afin de stocker en toute sécurité vos données et fichiers sensibles, tout en vous permettant de partager facilement des fichiers avec la famille et les amis.<br/>Doté d'une conception minimaliste compacte, le TS-431K peut facilement s'intégrer dans tout espace domestique et occupe très peu d'espace.<br/>Le TS-431K est doté de plateaux de disque verrouillables, ce qui permet d'éviter la chute ou le retrait accidentel de disques, et entrainerait la perte de données.<br/>Le TS-431K fournit une sauvegarde complète locale, hors site et en cloud ainsi que la technologie Snapshot sécurisée afin de vous aider à créer un plan fiable de sauvegarde et de récupération après sinistre.<br/>En cas de panne du système ou de suppression accidentelle de fichiers, vous pouvez rapidement restaurer le système à son état normal. - Offre exclusivement réservée aux professionnels
  • QNAP TS-H973AX-8G - serveur NAS
    QNAP TS-H973AX-8G - Serveur NAS - 9 Baies - SATA 6Gb/s - RAID 0, 1, 5, 6, 10, 50, JBOD, 60, RAID TP - RAM 8 Go - 2.5 Gigabit Ethernet / 10 Gigabit Ethernet - iSCSI support - Offre exclusivement réservée aux professionnels
  • QNAP TS-433 - serveur NAS
    QNAP TS-433 - Serveur NAS - 4 Baies - SATA 6Gb/s - RAID 0, 1, 5, 6, 10, 50, JBOD, 60 - RAM 4 Go - Gigabit Ethernet / 2.5 Gigabit Ethernet - iSCSI support - Offre exclusivement réservée aux professionnels
Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.