Bien que le Patch Tuesday du 11 octobre soit encore en cours d’élaboration chez Microsoft, Exchange pourrait faire l’objet d’une attention toute particulière le jour de sa publication, voire même avant. Deux vulnérabilités Web-Shell imbriquées affectant les versions 2013, 2016 et 2019 d’Exchange Server, en lien avec PowerShell, lui-même fréquemment abusé, semblent représenter une combinaison d’attaque à prendre en compte sérieusement. Après la divulgation publique de l’exploit par la société de sécurité GTSC, Microsoft a publié des conseils pour traiter le problème (qu’il décrit comme limité et ciblé, mais bien réel) avant la publication des mises à jour régulières.
Les clients Sophos sont déjà protégés. Pour compléter les protections proactives d’exécution existantes, nous avons également publié de nouvelles signatures IPS réseau et des détections anti-malware au niveau des systèmes endpoint : Signature IPS sid:2307757 pour Sophos Endpoint IPS et Sophos XG Firewall, ainsi que Troj/WebShel-EC et Troj/WebShel-ED pour détecter les “Web Shells” associés aux attaques signalées (veuillez consulter le tableau à la fin de cet article pour obtenir une liste complète des mises à jour). De plus, sur la base de rapports publics, la règle de détection comportementale Exec_30a a été conçue pour stopper les abus de PowerShell par IIS, tandis que la règle Lateral_1b bloque les lignes de commande de téléchargement de certutil : en effet, ces deux tactiques seraient associées à ces attaques.
L’investigation de Sophos X-Ops a déterminé que Microsoft identifiait correctement ces attaques comme ciblant un ensemble spécifique et restreint de victimes, à tel point que nous n’avons trouvé jusqu’à présent aucune preuve de ces dernières dans notre propre base de données. Cependant, l’attaque est désormais bien connue du public, signifiant ainsi que d’autres attaquants tenteront de l’adopter et de l’utiliser. Nous conseillons donc aux clients de suivre les conseils de prévention fournis et d’installer le correctif de Microsoft dès qu’il sera disponible.
Pour aider les administrateurs, l’équipe Exchange a publié un script PowerShell pour installer automatiquement les correctifs suggérés. Pour les clients qui ont activé l’EEMS (Exchange Emergency Mitigation Service), Microsoft a également publié la prévention concernant la réécriture d’URL pour Exchange Server 2016 et Exchange Server 2019, qui, selon l’entreprise, sera activée automatiquement. Enfin, Microsoft recommande aux entreprises de désactiver si possible les droits d’accès non administrateur pour PowerShell au sein de leurs organisations.
Plus précisément, Microsoft indique que les deux vulnérabilités impliquées sont CVE-2022-41040, une vulnérabilité SSRF (Server-Side Request Forgery), et CVE-2022-41082, une vulnérabilité qui permet l’exécution de code à distance (RCE) lorsque PowerShell est accessible à l’attaquant.
Une vulnérabilité SSRF (Server-Side Request Forgery) peut permettre à un attaquant de faire en sorte que le serveur vulnérable accède ou manipule des informations ou des services auxquels le serveur ne devrait normalement pas pouvoir accéder, via une URL malveillante. Par exemple, un attaquant pourrait utiliser une vulnérabilité SSRF pour demander à un serveur d’accéder à un fichier sur un serveur Web auquel il ne pourrait normalement pas accéder. Il est à noter qu’une autre vulnérabilité Exchange SSRF, CVE-2021-26855, a été le point d’entrée principal des attaques contre Exchange en 2021. Dans les dernières attaques signalées, il semble que la nouvelle vulnérabilité SSRF, CVE-2022-41040, ait le même objectif : à savoir servir de porte d’entrée à l’attaque.
Semblable à celle impliquant ProxyShell l’année passée, cette nouvelle attaque semble être mise en œuvre en enchaînant un exploit s’appuyant sur la vulnérabilité SSRF avec un autre exploit utilisant une autre vulnérabilité. Lors des attaques de l’année passée, la vulnérabilité SSRF (CVE-2021-26855) a été combinée avec CVE-2021-26857 pour élever les privilèges, après quoi CVE-2021-26858 ou CVE-2021-27065 a été utilisée pour exécuter du code sur le système concerné. Dans ce cas, la vulnérabilité SSRF (CVE-2022-41040) est combinée avec CVE-2022-41082, qui, comme décrit ci-dessus, permet l’exécution de code à distance via PowerShell si celui-ci est accessible à l’attaquant. Soulignons que cette chaîne d’attaque particulière ne nécessite pas de vulnérabilité supplémentaire en termes d’élévation de privilèges, probablement parce que CVE-2022-41082 peut être exécutée avec les privilèges SYSTEM.
D’après le rapport de GTSC, une fois la chaîne d’attaque CVE-2022-41040 + CVE-2022-41082 exécutée, les attaquants l’ont utilisée pour charger des Web Shells sur les systèmes compromis, leur donnant ainsi un contrôle total du serveur et un premier accès au réseau.
Même si CVE-2022-41040 nécessite qu’un utilisateur soit authentifié, il s’agit en réalité d’une contrainte vraiment mineure pour de nombreuses installations Exchange, en particulier celles qui exécutent Outlook Web Access (OWA).
La mauvaise nouvelle semble être que les attaquants ont une longueur d’avance concernant cette exploitation, et Microsoft peut très bien le savoir ou pas. Sur Twitter, le fil de discussion de Kevin Beaumont sur les rapports d’attaque mentionne une analyse approfondie de ces vulnérabilités réalisée en août 2022 et publiée par des chercheurs affiliés au GTSC, qui à leur tour ont signalé les problèmes au fameux programme Bug Bounty ZDI. Les bugs ont été divulgués à Microsoft en utilisant la procédure habituelle, mais GTSC observant toujours plus de clients touchés par cette attaque au sein de leur SOC, et ne voyant surtout aucun correctif venir, a décidé de divulguer publiquement ce qu’il savait.
La propre découverte de GTSC est survenue lorsque les analystes du SOC ont repéré des requêtes d’exploit dans les logs IIS dont le format était identique à celui laissé par la vulnérabilité ProxyShell. Depuis que les premiers rapports sur les deux vulnérabilités ont été publiés, les services MDR (Managed Detection and Response) du monde entier (y compris le service MTR de Sophos) se sont empressés de vérifier leurs logs de beaucoup plus près, à la recherche de traces de ce problème : c’est l’une des raisons pour lesquelles nous pensons que l’affirmation de Microsoft selon laquelle ces attaques seraient “limitées et ciblées” semble pour l’instant exacte.
Dans sa déclaration, Microsoft déclare que les correctifs nécessaires suivent un “timing accéléré”, signifiant ainsi généralement que l’entreprise de Redmond est en train de se dépêcher de publier, au plus vite, un ou plusieurs correctifs, peut-être même avant la publication du prochain Patch Tuesday.
Il est possible, quelle que soit d’ailleurs l’évolution de ces deux bugs, qu’il y ait encore beaucoup d’activités concernant Exchange dans les prochaines mises à jour Patch Tuesday au cours des mois à venir. Bien qu’il n’ait reçu aucun correctif en septembre dernier, Exchange a reçu six correctifs en août (dont deux vulnérabilités d’élévation de privilèges de classe critique trouvées par des chercheurs externes et une divulgation d’informations zero-day), à savoir la moitié des 12 correctifs dédiés à ce produit, et publiés cette année. L’année 2021 a également été une année difficile pour Exchange Server, à tel point que Microsoft a été contraint de décaler la sortie de la prochaine version du produit, initialement prévue cette année-là, au second semestre 2025. Cette année, le nombre de vulnérabilités dans Exchange a été éclipsé par le volume traité dans Windows (ou même Azure), mais Exchange est plus difficile à corriger, laissant ainsi un pourcentage élevé de serveurs exposés à des bugs plus anciens (y compris le bug ProxyShell, qui a été corrigé à la mi-2021).
Les sigpacks XG et SG ont été mis à jour comme suit pour traiter les vulnérabilités Exchange Server CVE-2022-41040 et CVE-2022-41082 :
Produit | ID de la signature |
EIPS | 2307757, 2307762 |
XG | 2307757, 27966, 27967, 27968, 28323, 37245, 42834, 42835, 42836, 42837, 42838, 60637, 60638, 60639, 60640, 60641, 60670 60671, 60672, 60673, 60674, 60675, 60676, 60677, 60678, 57906, 57907, 57908, 57983, 2307762 |
UTM : SG | 27966, 27967, 27968, 28323, 37245, 42834, 42835, 42836, 42837, 42838, 60637, 60638, 60639, 60640, 60641, 60642, 60670 60671, 60672, 60673, 60674, 60675, 60676, 60677, 60678, 57906, 57907, 57908, 57983 |
Vous pouvez également en savoir plus sur ces attaques dans ce podcast de Naked Security présenté par Chester Wisniewski.
Vous pouvez aussi parcourir la transcription complète.
Billet inspiré de Two Exchange Server vulns veer dangerously close to ProxyShell, sur le Blog Sophos.