Microsoft Exchange : 2 nouvelles failles zero-day exploitées dans des attaques !
Des chercheurs en sécurité de l'entreprise GTSC affirment que des pirates informatiques exploitent deux failles zero-day au sein de Microsoft Exchange pour exécuter du code à distance sur le serveur de messagerie pris pour cible. Ces failles, non corrigées à ce jour, représentent un réel danger. Faisons le point.
Ces failles de sécurité sont considérées comme critiques, car l'utilisation conjointe de ces deux vulnérabilités permet d'exécuter du code à distance sur le serveur Microsoft Exchange (notamment s'il est exposé sur Internet), ce qui permet le déploiement d'un web shell. Ensuite, c'est la porte ouverte à d'autres actions : vol de données, mouvements latéraux, etc. Pour l'exploitation, visiblement ce serait le même type de requêtes qu'avec ProxyShell, l'une des pires vulnérabilités de l'année 2021.
D'après la société GTSC, c'est un groupe de cybercriminels chinois qui serait à l'origine de ces attaques. Pourquoi ? Et bien, le user-agent utilisé pour installer les web shells fait référence à Antsword, un outil de sécurité open source venant de Chine, et la page des web shells utilisent l'encodage de Microsoft pour le chinois simplifié.
Il y a trois semaines, les chercheurs ont signalé ces failles de sécurité à Microsoft, de manière privée, par l'intermédiaire de la Zero Day Initiative. Ces vulnérabilités sont bien réelles et la Zero Day Initiative assure un suivi avec les références ZDI-CAN-18333 et ZDI-CAN-18802. Elles héritent des scores CVSS suivants : 8,8 sur 10 et 6,3 sur 10. Pour le moment, Microsoft n'a divulgué aucune information concernant ces deux failles de sécurité, et il n'y a pas encore de références CVE.
Comment protéger son serveur Exchange ?
Du côté de Trend Micro, il y a déjà eu une mise à jour des outils de détection d'intrusion N-Platform, NX-Platform, et TPS pour détecter les tentatives d'exploitation de ces nouvelles vulnérabilités zero-day.
Même s'il n'y a pas beaucoup de détails techniques disponibles pour le moment, on sait que l'exploitation s'effectue au travers d'une requête telle que "autodiscover/[email protected]/<Exchange-backend-endpoint>&Email=autodiscover/autodiscover.json%[email protected].", y compris sur un serveur Microsoft Exchange totalement à jour.
En attendant un correctif de Microsoft, voici la solution proposée par la société GTSC pour bloquer les tentatives d'attaques en adaptant la configuration du serveur IIS.
1 - Sur le serveur Autodiscover frontend, ouvrez la console IIS, accédez au module URL Rewrite et Request Blocking (blocage de requêtes).
2 - Ajoutez la chaîne ".*autodiscover\.json.*\@.*Powershell.*" pour le chemin de l'URL
3 - Choisissez la condition d'entrée (input) suivante : {REQUEST_URI}
Si vous utilisez Microsoft Exchange, il est recommandé de mettre en place cette mesure protectrice dès que possible.
Enfin, pour les administrateurs qui souhaitent vérifier si leur serveur Exchange a déjà été compromis, voici la commande PowerShell à exécuter (en précisant le chemin vers les journaux IIS, qui est par défaut "%SystemDrive%\inetpub\logs\LogFiles") :
Get-ChildItem -Recurse -Path <Path_IIS_Logs> -Filter "*.log" | Select-String -Pattern 'powershell.*autodiscover\.json.*\@.*200
Ceci permet d'analyser les logs de IIS à la recherche d'une requête malveillante qui serait le signe d'une tentative d'exploitation.