L’attaque ProxyShell du serveur Microsoft Exchange est activement exploitée par les pirates. Cette faille leurs permet d'installer des backdoors pour y accéder ultérieurement.

ProxyShell est le nom d'une attaque qui utilise trois vulnérabilités Microsoft Exchange enchaînées pour effectuer une exécution de code à distance non authentifiée. Ces trois vulnérabilités sont :

• CVE-2021-31207 - Vulnérabilité de contournement des fonctionnalités de sécurité de Microsoft Exchange Server (corrigée le 11 mai)
• CVE-2021-34473 - Vulnérabilité d'exécution de code à distance de Microsoft Exchange Server (corrigée le 13 avril, avis publié le 13 juillet)
• CVE-2021-34523 - Vulnérabilité d'élévation de privilège de Microsoft Exchange Server (correctif apporté le 13 avril, avis publié le 13 juillet)

Les trois vulnérabilités mentionnées ci-dessus ont été découvertes par Orange Tsai, chercheur principal en sécurité chez Devcore, qui les a enchaînées pour prendre le contrôle d'un serveur Microsoft Exchange lors du concours de piratage Pwn2Own 2021 organisé en avril.

Range Tsai a participé à une conférence Black Hat sur les récentes vulnérabilités de Microsoft Exchange qu'il a découvertes en ciblant la surface d'attaque de Microsoft Exchange Client Access Service (CAS). Il a révélé que l'exploit ProxyShell utilise la fonction AutoDiscover de Microsoft Exchange pour réaliser une attaque SSRF.

Après avoir assisté à la conférence, les chercheurs en sécurité PeterJson et Nguyen Jang ont publié des informations techniques plus détaillées sur la reproduction réussie de l'exploit ProxyShell.

Peu après, le chercheur en sécurité Kevin Beaumont a remarqué l’activité croissante d’acteurs malveillants à rechercher des serveurs Microsoft Exchange vulnérables à ProxyShell.

Pour ceux qui n'ont pas mis à jour leur serveur Microsoft Exchange récemment, il est fortement recommandé de le faire immédiatement afin de prévenir les tentatives d’exploitation, étant donné que les attaques précédentes de ProxyLogon sur les serveurs Microsoft ont conduit à des ransomwares, des malwares et des vols de données sur les serveurs exposés.