{"id":317745,"date":"2022-09-30T18:19:12","date_gmt":"2022-09-30T17:19:12","guid":{"rendered":"https:\/\/www.stormshield.com\/?p=317745"},"modified":"2024-05-29T08:59:37","modified_gmt":"2024-05-29T07:59:37","slug":"alerte-securite-proxynotshell-la-reponse-des-produits-stormshield","status":"publish","type":"post","link":"https:\/\/www.stormshield.com\/fr\/actus\/alerte-securite-proxynotshell-la-reponse-des-produits-stormshield\/","title":{"rendered":"Alerte s\u00e9curit\u00e9 ProxyNotShell : la r\u00e9ponse des produits Stormshield"},"content":{"rendered":"

La d\u00e9couverte de vuln\u00e9rabilit\u00e9s Zero-Day ProxyNotShell replonge les serveurs Exchange dans un niveau de risque \u00e9lev\u00e9 en attendant la correction Microsoft. Le point sur la menace, avec l\u2019\u00e9quipe Stormshield Customer Security Lab. <\/strong><\/p>\n

Nouvelle version du 04.10.22.<\/p>\n

 <\/p>\n

Le contexte des vuln\u00e9rabilit\u00e9s ProxyNotShell<\/h2>\n

Durant une analyse de type r\u00e9ponse sur incident, une \u00e9quipe de SOC\/CERT a d\u00e9couvert que le syst\u00e8me d\u2019information avait \u00e9t\u00e9 attaqu\u00e9 \u00e0 travers des vuln\u00e9rabilit\u00e9s sur un serveur Microsoft Exchange. Encore inconnues par Microsoft et donc non patch\u00e9es, ce sont deux vuln\u00e9rabilit\u00e9s critiques Zero-days : une SSRF (Server Side Request Forgery<\/em>) et une RCE (Remote Code Execution<\/em>) qui s'enchainent.<\/p>\n

Plus pr\u00e9cis\u00e9ment, ces vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 r\u00e9f\u00e9renc\u00e9es au ZDI (Zero Day Initiative<\/em>). Il s\u2019agit de la ZDI-CAN-18333 avec un score de 8.8 et de la ZDI-CAN-18802 avec un score de 6.3. Les CVE viennent d\u2019\u00eatre publi\u00e9es sous les matricules CVE-2022-41040<\/strong> et CVE-2022-41082<\/strong>, cette derni\u00e8re \u00e9tant scor\u00e9e CVSS 3.1 \u00e0 9.6.<\/p>\n

Ces vuln\u00e9rabilit\u00e9s sont tr\u00e8s proches de ProxyShell d\u00e9couverte en 2021 (CVE-2021-34473), \u00e0 tel point qu\u2019on peut se demander si ce sont r\u00e9ellement de nouvelles vuln\u00e9rabilit\u00e9s. Cependant, les versions corrig\u00e9es d\u2019Exchange sont vuln\u00e9rables \u00e0 ces nouvelles techniques d\u2019exploitation, il s\u2019agit donc bien de nouvelles vuln\u00e9rabilit\u00e9s. Derri\u00e8re le nom \u00ab ProxyNotShell \u00bb, se cachent ces deux vuln\u00e9rabilit\u00e9s.<\/strong><\/p>\n

 <\/p>\n

Les d\u00e9tails techniques des vuln\u00e9rabilit\u00e9s ProxyNotShell<\/h2>\n

La vuln\u00e9rabilit\u00e9 RCE impacte les serveurs Windows Echange on-premise<\/em> et ayant Outlook Web Access d\u2019activ\u00e9.<\/p>\n

Pour l\u2019exploiter, un attaquant provoquera l'envoi d'une requ\u00eate SOAP \u00abautodiscover<\/em>\u00bb pr\u00e9par\u00e9e sur mesure, dans un format\u00a0similaire \u00e0 la vuln\u00e9rabilit\u00e9 ProxyShell, de type : POST\/autodiscover\/autodiscover.json?@toto.com\/PowerShell\/[...]HTTP\/1.1<\/em><\/strong><\/p>\n

Ce type de requ\u00eate va provoquer l\u2019ex\u00e9cution \u00e0 distance d\u2019un code PowerShell, afin, par exemple, de d\u00e9poser un Web Shell sur le serveur et prendre le contr\u00f4le de celui-ci \u00e0 distance. Le processus Exchange ayant un haut niveau de privil\u00e8ge, il s\u2019agit d\u2019une porte d\u2019acc\u00e8s tr\u00e8s efficace pour prendre le contr\u00f4le total du serveur.<\/p>\n

 <\/p>\n

Les versions impact\u00e9es par les vuln\u00e9rabilit\u00e9s ProxyNotShell<\/h2>\n

Les versions de Microsoft Exchange 2013, 2016 et 2019 sont impact\u00e9es.<\/p>\n

 <\/p>\n

Les moyens de protection fournis par Stormshield<\/h2>\n

Stormshield Network Security<\/h3>\n

Une signature IPS a \u00e9t\u00e9 publi\u00e9e sur SNS, elle permet de d\u00e9tecter l\u2019exploitation de la vuln\u00e9rabilit\u00e9 RCE. Cette signature n\u00e9cessite un d\u00e9chiffrement SSL pr\u00e9alable pour \u00eatre fonctionnelle.<\/p>\n