ProxyShell : retour sur les 3 dernières vulnérabilités critiques impactant Microsoft Exchange

Les détails techniques de 3 vulnérabilités critiques affectant Microsoft Exchange ont été divulgués durant l’édition 2021 de la BlackHat par le chercheur Orange Tsai.

La publication des détails techniques au sein d’un article de blog a permis la création de codes d’exploitation publiques, facilitant l’exploitation de ces vulnérabilités.

La première vulnérabilité, référencée CVE-2021-34473, provenait d’une mauvaise gestion des requêtes au sein de la fonction EwsAutodiscoverProxyRequestHandler. Un attaquant distant connaissant une adresse email valide était en mesure de provoquer l’envoi de requêtes à la place du serveur (SSRF) et ainsi d’accéder à des URLs internes avec le compte NT AUTHORITYSYSTEM.

La seconde faille de sécurité, référencée CVE-2021-34523, provenait d’une erreur au sein de la fonction RemotePowershellBackendCmdletProxyModule. À l’aide d’une requête spécifiquement conçue, un attaquant pouvait usurper l’identité de l’administrateur Exchange et ainsi réaliser une élévation de privilèges.

Enfin, la vulnérabilité référencée CVE-2021-31207 provenait d’un manque de vérification des entrées utilisateurs au sein de la fonction New-MailboxExportRequest. Un attaquant authentifié était en mesure d’exploiter cette vulnérabilité afin de prendre le contrôle du système.

Ces vulnérabilités sont exploitables directement depuis l’interface OWA (Outlook Web App) et nécessitent seulement à un attaquant de connaître une adresse email légitime de l’organisation ciblée.

L’exploitation chainée de ces 3 vulnérabilités permettait ainsi à un attaquant distant de contourner le mécanisme d’authentification, d’élever ses privilèges et d’exécuter des commandes arbitraires sur le serveur.

Suite à la publication de codes d’exploitation, un module Metasploit ainsi qu’un template Nuclei ont été développés, rendant l’exploitation chainée de ces 3 vulnérabilités triviale.

De plus, des tentatives d’exploitation ont été observées sur Internet. Durant sa présentation, Orange Tsai a annoncé qu’une simple recherche Shodan permettrait d’obtenir une liste de plus de 30 000 serveurs vulnérables. l’ISC SANS a effectué un scan d’Internet et a obtenu les mêmes résultats.

Les versions suivantes de Microsoft Exchange sont impactées :

• Microsoft Exchange Server 2013 Cumulative Update 23 (KB5004778)
• Microsoft Exchange Server 2016 Cumulative Update 19 (KB5001779)
• Microsoft Exchange Server 2016 Cumulative Update 20 (KB5004779)
• Microsoft Exchange Server 2016 Cumulative Update 21 (KB5004779)
• Microsoft Exchange Server 2019 Cumulative Update 10 (KB5004780)
• Microsoft Exchange Server 2019 Cumulative Update 8 (KB5001779)
• Microsoft Exchange Server 2019 Cumulative Update 9 (KB5004780)

Ces vulnérabilités ont été corrigées lors du correctif cumulatif du mois de juillet, publié par Microsoft lors de leur processus de mise à jour habituel.

Le CERT-XMCO recommande ainsi l’application immédiate de ces correctifs. Si ces correctifs ne sont pas applicables, il est recommandé de désactiver l’accès public à l’interface en mettant en place un mécanisme de filtrage d’accès réseau.

Références

https://www.zdnet.fr/actualites/des-chercheurs-signalent-de-premieres-attaques-exploitant-proxyshell-39927571.htm

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/

https://threatpost.com/exchange-servers-attack-proxyshell/168661/

https://www.cert.ssi.gouv.fr/actualite/CERTFR-2021-ACT-035/

https://www.zerodayinitiative.com/blog/2021/8/17/from-pwn2own-2021-a-new-attack-surface-on-microsoft-exchange-proxyshell

https://twitter.com/orange_8361

https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/windows/http/exchange_proxyshell_rce.rb

https://github.com/projectdiscovery/nuclei-templates/blob/c537e2ccd4c9ed0c91a965012f52c110993badc7/cves/2021/CVE-2021-34473.yaml