Détection des attaques ProxyShell sur Microsoft Exchange
Table des matières :
Des milliers de serveurs Microsoft Exchange restent vulnérables aux vulnérabilités d’exécution de code à distance ProxyShell malgré les correctifs émis en avril-mai. Pour aggraver les choses, les chercheurs en sécurité observent une augmentation significative des analyses pour les serveurs Exchange vulnérables, après que la présentation technique de l’attaque ProxyShell ait été révélée lors de la conférence Black Hat les 4 et 5 août 2021.
Quelles sont les failles ProxyShell ?
ProxyShell est un nom générique pour trois failles distinctes qui, si elles sont enchaînées, permettent à des pirates non authentifiés d’exécuter des codes à distance (RCE) sur des serveurs Microsoft Exchange vulnérables. Le premier bug (CVE-2021-34473) est un problème de confusion de correctifs pré-authentification qui entraîne un contournement ACL. La deuxième faille (CVE-2021-34523) est une élévation de privilège sur le backend Exchange PowerShell. Enfin, le troisième problème (CVE-2021-31207) est une mauvaise configuration de l’écriture de fichiers arbitraires post-authentification qui mène à une RCE. La combinaison de ces mauvaises configurations peut être exploitée via le service d’accès client (CAS) de Microsoft Exchange fonctionnant sur le port 443 dans IIS.
Les bugs ont été identifiés et analysés par le chercheur en sécurité Orange Tsai en avril 2021. De plus, lors de la conférence Black Hat, Tsai a présenté un aperçu de la chaîne d’attaque et des détails techniques des failles. En particulier, l’expert a expliqué que l’attaque ProxyShell compromet le service Autodiscover de Microsoft Exchange destiné à simplifier la configuration automatique des logiciels de client de messagerie.
La présentation de Tsai au Black Hat a inspiré les chercheurs en sécurité PeterJson et Jang à publier une analyse approfondie de l’attaque ProxyShell et une description étape par étape de la chaîne d’attaque.
Maintenant que les détails ont été révélés et que la chaîne d’attaque a été décrite, les adversaires scannent activement les serveurs Microsoft Exchange vulnérables pour exploiter la combinaison de failles dans la nature. Jusqu’à présent, les pirates ne sont pas très prolifiques dans leurs tentatives, mais nous verrons probablement bientôt une avalanche de tentatives d’exploitation réussies. De plus, bien que les correctifs soient disponibles depuis avril 2021, plus de 30 000 serveurs Exchange restent vulnérables à ce jour, incitant les attaquants à poursuivre leurs actions malveillantes.
Détection et Atténuation des Attaques ProxyShell
Bien que les failles ProxyShell aient été divulguées publiquement en juillet, Microsoft a corrigé ces vulnérabilités notoires dès avril-mai 2021. En particulier, CVE-2021-34473 et CVE-2021-34523 ont été discrètement résolus dans la mise à jour cumulative KB5001779 d’avril de Microsoft Exchange. Et CVE-2021-31207 a été corrigée avec la publication de KB5001779 cumulative update. And CVE-2021-31207 was patched with the release of KB5003435. Les administrateurs sont invités à corriger les serveurs dès que possible pour prévenir les conséquences dévastatrices de l’attaque ProxyShell.
Pour aider les praticiens de la sécurité à résister aux attaques ProxyShell et à détecter les activités malveillantes potentielles dans le réseau, les experts en sécurité Florian Roth et Rich Warren ont publié des règles personnalisées Sigma. Téléchargez ces éléments de contenu SOC gratuits directement depuis le Threat Detection Marketplace :
Modèle ProxyShell Exchange
Cette règle écrite par Florian Roth et Rich Warren détecte des modèles URP qui pourraient être trouvés dans les tentatives d’exploitation de ProxyShell contre les serveurs Exchange.
SIEM & ANALYTIQUES DE SÉCURITÉ : Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
La règle est mappée au cadre MITRE ATT&CK® adressant les tactiques d’accès initial et la technique d’exploitation d’application publique (T1190).
Exportation suspecte de boîte aux lettres PowerShell vers partage
Cette règle écrite par Florian Roth détecte une New-MailboxExportRequest de PowerShell qui exporte une boîte aux lettres vers un partage local, comme utilisé dans les exploitations ProxyShell.
SIEM & ANALYTIQUES DE SÉCURITÉ : Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Graylog, Regex Grep, Humio, SentinelOne, CrowdStrike, Microsoft Powershell, Microsoft Defender ATP, Carbon Black, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
La règle est mappée au cadre MITRE ATT&CK® adressant les tactiques de collecte et la technique de collecte d’emails (T1114).
Abonnez-vous gratuitement au Threat Detection Marketplace et accédez à la plateforme leader Content-as-a-Service (CaaS) qui alimente le workflow CI/CD complet pour la détection des menaces. Notre bibliothèque regroupe plus de 100K d’éléments de contenu SOC qualifiés, multi-vendeurs et multi-outils mappés directement aux frameworks CVE et MITRE ATT&CK®. Envie de créer vos propres règles Sigma ? Rejoignez notre programme Threat Bounty et soyez récompensé pour votre contribution !
