TechTarget

mdbildes - stock.adobe.com

Actualites

Exchange Server : des années de vulnérabilités traumatisantes

Les quatre séries de failles de sécurité très médiatisées de Microsoft Exchange Server, divulguées par le chercheur Orange Tsai, devraient rester un souci majeur pour les entreprises.

Shaun Nichols
par
Publié le: 13 déc. 2022

La première série de vulnérabilités affectant Microsoft Exchange Server a été dévoilée il y a bientôt deux ans. Aujourd’hui, ce sont quatre collections de bugs très médiatisés qui devraient continuer de constituer un casse-tête pour les entreprises, au moins dans un proche avenir.

Orange Tsai, un chercheur de l’éditeur de solutions de sécurité Devcore, s’est attribué le mérite de la découverte et du signalement des quatre séries de failles d’Exchange. À la suite de sa toute dernière divulgation en octobre, Orange Tsai a laissé entendre qu’il s’éloignait pour l’instant des vulnérabilités Exchange, déclarant que « cette série est enfin arrivée à son terme ».

Cela mettrait un terme à une campagne qui remonte à décembre 2020 avec la découverte par le chercheur des fameuses vulnérabilités ProxyLogon qui ont vu les administrateurs se précipiter pour patcher leurs serveurs, alors que les cyberdélinquants préparaient un ensemble puissant d’exploits. Bien qu’Orange Tsai en ait peut-être fini pour le moment, les experts estiment que pour ceux qui sont chargés de protéger les serveurs Exchange, la menace n’est pas près de disparaître.

« Je pense que cela restera une cible », juge ainsi Satnam Narang, ingénieur de recherche de Tenable, à la rédaction de TechTarget. « Tant que ces systèmes sont accessibles en ligne et qu’ils ne sont pas corrigés, cela restera un problème ».

ProxyLogon fait parler de lui

La première série de vulnérabilités concernant Microsoft Exchange reste la plus connue. Les vulnérabilités ProxyLogon comprenaient la CVE-2021-26855, une faille de falsification de requête côté serveur, permettant à un attaquant de contourner les contrôles d’authentification pour l’omniprésente plate-forme de serveur de messagerie Microsoft.

Bien qu’un tel bug ne semble pas être une vulnérabilité importante pour la plupart des systèmes, il s’agit d’une faille critique pour un serveur dont le seul but est de gérer le courrier électronique. Pour ne rien arranger, Orange Tsai a découvert fin décembre une autre faille dans Exchange qui, enchaînée avec la CVE-2021-26855, pouvait permettre l’exécution de code arbitraire à distance. Deux autres vulnérabilités connexes ont été découvertes par le cabinet danois de conseil en sécurité informatique Dubex et par le Threat Intelligence Center de Microsoft.

Orange Tsai a ensuite souligné que ces vulnérabilités, comme les autres failles d’Exchange, sont des erreurs de logique plutôt que des erreurs de débordement de mémoire, ce qui les rend plus faciles à exploiter de manière fiable par les attaquants.

Les choses n’ont fait qu’empirer lorsque, en mars, une exploitation massive de ProxyLogon a été observée dans la nature. Il a été révélé par la suite que certaines attaques exploitant ces vulnérabilités avaient eu lieu avant même sa divulgation.

Selon Orange Tsai, les recherches sur le bogue ProxyLogon ont également permis à l’équipe Devcore de faire une découverte plutôt excitante, mais aussi inquiétante, concernant la plate-forme Exchange.

« En examinant ProxyLogon du point de vue architectural, nous avons découvert qu’il ne s’agit pas seulement d’une vulnérabilité, mais d’une surface d’attaque totalement nouvelle et que personne n’a jamais mentionnée auparavant », a-t-il écrit dans un billet de blog publié en 2021. « Cette surface d’attaque pourrait conduire les hackers ou les chercheurs en sécurité à d’autres vulnérabilités ».

Le Proxy oublié

Plus tard dans l’année, Orange Tsai a dévoilé une deuxième série de vulnérabilités Proxy. Connu sous le nom de ProxyOracle, cet ensemble de bogues est considéré comme présentant le risque le plus faible et est probablement le moins discuté des quatre collections.

La faille a été divisée en deux vulnérabilités distinctes inscrites sur la liste CVE, qui pourraient être enchaînées et utilisées dans une attaque de phishing. Dans le cadre d’une attaque ProxyOracle, un attaquant non autorisé pourrait potentiellement accéder aux cookies de session, de quoi compromettre des comptes utilisateurs.

Orange Tsai a noté que cette attaque particulière était sournoise, car fermer son navigateur en cours d’attaque n’empêchait pas l’exécution de celle-ci.

Un cran plus haut

Alors que ProxyLogon et ProxyOracle présentaient des risques importants pour les entreprises, la situation est passée à un autre niveau en août 2021. Lors d’une présentation à la conférence Black Hat USA, Orange Tsai a évoqué une troisième série de failles d’Exchange, connue sous le nom de ProxyShell. Il l’a révélée pour la première fois lors du concours Pwn2Own Vancouver de la même année.

Essentiellement, ProxyShell est un trio de vulnérabilités – contournement de l’authentification, élévation des privilèges et exécution de commandes – qui, lorsqu’elles sont enchaînées, donnent à un attaquant distant ce qui équivaut à un contrôle total de la machine ciblée via son port 443.

En pratique, les cyberdélinquants étaient en mesure de créer des scripts pouvant être utilisés contre les machines vulnérables pour effectuer toutes sortes d’opérations, de l’extraction de données aux attaques par ransomware, ainsi que des déplacements latéraux du réseau qui pouvaient conduire à des dommages encore plus importants.

Et les attaques ont eu lieu. Dans le mois qui a suivi la présentation d’Orange Tsai, les fournisseurs de sécurité ont signalé un pic d’attaques sur la faille ProxyShell. Orange Tsai n’a pas publié de démonstrateur d’exploitation pour ProxyShell, mais deux autres chercheurs ont utilisé son travail pour le faire, durant la conférence Black Hat.

Bien que les failles aient été divulguées et corrigées plus tôt dans l’année, de nombreuses organisations ont laissé leurs systèmes vulnérables, probablement parce qu’elles n’ont pas pris conscience de la menace que représentent ces failles.

La saga se termine avec ProxyRelay

En octobre 2022, alors que de nombreux attaquants parvenaient encore à exploiter les vulnérabilités non corrigées de ProxyLogon et ProxyShell sur les serveurs Exchange, Orange Tsai a dévoilé une quatrième série de bugs, connue sous le nom de ProxyRelay.

Il s’agit une fois de plus d’une série de vulnérabilités, lesquelles peuvent être enchaînées pour non seulement compromettre un seul serveur Exchange, mais aussi, grâce à des failles dans le composant Microsoft NTLM, s’attaquer à tous les autres serveurs du réseau en utilisant les mêmes identifiants de compte volés.

En divulguant ProxyRelay, Orange Tsai a également déploré la lenteur du déploiement des correctifs de Microsoft, notant que l’un des problèmes répertoriés par la CVE dans la chaîne ProxyRelay est resté sans correctif pendant un an avant d’être finalement corrigé.

Le chercheur a toutefois noté que Microsoft souhaitait corriger la faille au niveau de l’architecture, ce qui prend beaucoup plus de temps que la publication d’un correctif classique.

Et maintenant ?

Bien que Tsai ait depuis raccroché ses proverbiaux gants Proxy et promis de passer à de nouveaux projets, d’autres chercheurs en sécurité ont découvert des vulnérabilités similaires dans Exchange Server au cours des deux dernières années, dont, tout récemment, les failles ProxyNotShell. Que de nouveaux bugs comparables soient découverts ou non, les experts estiment que les quatre séries de failles – ProxyLogon et ProxyShell en particulier – auront une longue traînée.

L’un des principaux facteurs de cette longévité sera probablement la difficulté d’appliquer des correctifs pour Exchange dans de nombreux contextes. Le scénario le plus inquiétant, toutefois, pourrait être celui où une vulnérabilité tombe entre les mains d’un attaquant à long terme. Qui cherche à rester furtif aussi longtemps que possible.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)

Close