Risque(s)
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Élévation de privilèges
Résumé
Dans son bulletin d’actualité CERTFR-2021-ACT-035 du 12 août 2021 [1], le CERT-FR revenait sur la publication d’une technique permettant de prendre le contrôle d’un serveur Microsoft Exchange. La technique, dénommée « ProxyShell » s’appuie sur l’existence de plusieurs vulnérabilités corrigées en avril et en mai 2021 [4] (mais annoncées en juillet) [2] [3].
Récemment, le CERT-FR a pris connaissance d’activités malveillantes qui pourraient-être basées sur une exploitation de ces vulnérabilités et ciblant les serveurs Microsoft Exchange d’entités françaises.
Le CERT-FR a signalé l’existence de serveurs vulnérables exposés sur Internet à leurs propriétaires, mais sans possibilité d’exhaustivité. Par conséquent le CERT-FR rappelle les recommandations suivantes :
- appliquer immédiatement les correctifs de sécurité fournis par l’éditeur sur l’ensemble des serveurs Exchange vulnérables exposés sur Internet puis en interne ;
- procéder à l’analyse des serveurs Exchange afin d’identifier une possible activité anormale à l’aide des informations fournies dans notre bulletin CERTFR-2021-ACT-035 et la présence de webshells ;
- en cas de compromission, contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.
Enfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne devraient pas être exposés sans protection sur Internet. Il est fortement recommandé d’appliquer les bonnes pratiques publiées par l’ANSSI pour ce type service [5].
Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).
Documentation
- [1] Bulletin d’actualité CERTFR-2021-ACT-035 du 12 août 2021
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-035/ - [2] Avis de sécurité CERTFR-2021-AVI-522 du 15 juillet 2021
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-522/ - [3] Bulletin d’actualité CERTFR-2021-ACT-030 du 19 juillet 2021
https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-030/ - [4] Avis de sécurité CERTFR-2021-AVI-369 du 12 mai 2021
https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-369/ - [5] Guide de sécurité de l’ANSSI
https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/ - Référence CVE CVE-2021-34473
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34473 - Référence CVE CVE-2021-34523
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34523 - Référence CVE CVE-2021-31207
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31207