Un code d’exploitation de preuve de concept a été publié en ligne au cours du week-end pour une vulnérabilité de gravité élevée activement exploitée affectant les serveurs Microsoft Exchange.
Le bug de sécurité suivi comme CVE-2021-42321 impacte Exchange Server 2016 et Exchange Server 2019 sur site (y compris ceux utilisés par les clients en mode hybride Exchange) et a été corrigé par Microsoft lors du Patch Tuesday de ce mois-ci.
Une exploitation réussie permet à des attaquants authentifiés d’exécuter du code à distance sur des serveurs Exchange vulnérables.
Dimanche, près de deux semaines après la publication du correctif CVE-2021-42321, le chercheur Janggggg a publié un exploit de preuve de concept pour le bug Exchange post-auth RCE.
« Ce PoC vient de faire apparaître mspaint.exe sur la cible, peut être utilisé pour reconnaître le modèle de signature d’un événement d’attaque réussi », le chercheur mentionné.
Les administrateurs avertis de patcher immédiatement
« Nous sommes conscients d’attaques ciblées limitées dans la nature utilisant l’une des vulnérabilités (CVE-2021-42321), qui est une vulnérabilité post-authentification dans Exchange 2016 et 2019 », a déclaré Microsoft.
« Notre recommandation est d’installer ces mises à jour immédiatement pour protéger votre environnement », a déclaré la société, exhortant les administrateurs Exchange à corriger le bug exploité à l’état sauvage.
Si vous n’avez pas encore corrigé cette vulnérabilité de sécurité sur vos serveurs sur site, vous pouvez générer un inventaire rapide de tous les serveurs Exchange de votre environnement qui doivent être mis à jour à l’aide de la dernière version du Script du vérificateur d’intégrité du serveur Exchange.
Pour vérifier si l’un de vos serveurs Exchange vulnérables a déjà été touché par des tentatives d’exploitation CVE-2021-42321, vous devez exécuter cette requête PowerShell sur chaque serveur Exchange pour rechercher des événements spécifiques dans le journal des événements :
Get-EventLog -LogName Application -Source "MSExchange Common" -EntryType Error | Where-Object { $_.Message -like "*BinaryFormatter.Deserialize*" }
Serveurs Exchange sur site attaqués
Les administrateurs Exchange ont fait face à deux vagues massives d’attaques depuis le début de 2021, ciblant les vulnérabilités de sécurité ProxyLogon et ProxyShell.
Les acteurs de la menace soutenus par l’État et motivés financièrement ont utilisé les exploits ProxyLogon pour déployer des shells Web, des cryptomineurs, des ransomwares et d’autres logiciels malveillants à partir de début mars.
Dans ces attaques, ils ont ciblé plus d’un quart de million de serveurs Microsoft Exchange, appartenant à des dizaines de milliers d’organisations à travers le monde.
Quatre mois plus tard, les États-Unis et leurs alliés, dont l’UE, le Royaume-Uni et l’OTAN, ont officiellement blâmé la Chine pour ces attaques de piratage Microsoft Exchange généralisées.
En août, les acteurs de la menace ont également commencé à rechercher et à pirater les serveurs Exchange en exploitant les vulnérabilités de ProxyShell après que les chercheurs en sécurité reproduit un exploit de travail.
Même si les charges utiles abandonnées à l’aide d’exploits ProxyShell étaient inoffensives au début, les attaquants sont ensuite passés au déploiement de charges utiles de ransomware LockFile sur des domaines Windows piratés à l’aide d’exploits Windows PetitPotam.
Avec cette dernière vulnérabilité (CVE-2021-42321), les chercheurs voient déjà des attaquants rechercher et tenter de compromettre les systèmes vulnérables.
Je viens d’attraper quelqu’un dans la nature essayant d’exploiter CVE-2021-42321 pour exécuter du code sur MailPot, en l’enchaînant avec ProxyShell (non, je ne sais pas pourquoi non plus – cela ne fonctionne pas).
– Kevin Beaumont (@GossiTheDog) 22 novembre 2021
Comme Microsoft Exchange est devenu une cible populaire pour les acteurs de la menace pour obtenir un accès initial aux réseaux d’une cible, il est fortement conseillé de maintenir les serveurs à jour avec les derniers correctifs de sécurité.