23/11/2024
IT-Connect » Actualités » Actu Cybersécurité » Microsoft Exchange et ProxyShell : des attaques sont en cours, en France

Actu CybersécuritéEntreprise

Microsoft Exchange et ProxyShell : des attaques sont en cours, en France

Florian BURNEL 0 commentaire

D'après les informations publiées sur le site CERT-FR, des entités françaises sont visées dans le cadre d'attaques qui s'appuient sur l'exploitation des vulnérabilités ProxyShell, présentent sur les serveurs de messagerie Microsoft Exchange. Dans le même esprit,  j'ai décidé d'en remettre une couche pour vous avertir !

Bien qu'elles soient connues depuis plusieurs mois et que Microsoft a déjà publié des correctifs, il semblerait qu'il y ait encore des serveurs Exchange vulnérables aux failles de sécurité ProxyShell. Des campagnes d'attaques sont en cours, en France et ailleurs, notamment dans le but d'exécuter le ransomware LockFile sur les serveurs de la victime.

Derrière le nom ProxyShell se cache trois vulnérabilités :

Des travaux récents ont permis de déterminer que l'exploitation en chaîne de ces trois failles de sécurité permet de prendre le contrôle d'un serveur Exchange à distance.

Les failles ProxyShell sont-elles corrigées par Microsoft ?

La réponse est "oui" ! Et, c'est tant mieux ! En mai dernier, Microsoft a corrigé la faille de sécurité CVE-2021-31207, tandis que les deux autres ont eu le droit à un correctif en juillet. À ce jour, il est possible de protéger complètement son serveur Exchange contre les vulnérabilités ProxyShell. Pour cela, il faut prendre le temps de passer les mises à jour.

Des correctifs sont disponibles pour les versions suivantes d'Exchange :

  • Exchange 2013 CU 23
  • Exchange 2016 CU 19 et CU 20
  • Exchange 2019 CU 8 et CU 9

Si vous utilisez un serveur Exchange et qu'il est accessible depuis Internet, il est fortement recommandé de le mettre à jour sans plus attendre !

Mon serveur Exchange est-il victime de ProxyShell ?

Difficile de répondre à cette question, mais vous pouvez déjà regarder si votre serveur Exchange a été scanné. S'il a été scanné avant d'être patché, dans ce cas menez vos investigations un peu plus loin.

Pour vérifier s'il a été scanné, je vais relayer les conseils publiés sur le site CERT-FR : "Le chercheur en sécurité Kevin Beaumont a conseillé de vérifier la présence des motifs « /autodiscover/autodiscover.json » et « /mapi/nspi/ » dans les journaux pour identifier si le serveur a fait l’objet d’une reconnaissance."

À vous de jouer et n'hésitez pas à partager un maximum pour faire circuler l'info !

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Cisco IOS XE - CVE-2023-20198 - Alerte de sécurité

Cyberattaque : plus de 34 000 équipements Cisco piratés avec cette nouvelle faille zero-day !

Florian BURNEL 0

Infomaniak lance « ik.me », un service gratuit respectueux de la vie privée

Florian BURNEL 3
Routeur TP-Link Archer C5400X - CVE-2024-5035

Routeur TP-Link Archer C5400X : protégez-vous de la faille de sécurité critique CVE-2024-5035 !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.