La société de sécurité a vu une augmentation récente de ProxyNotShell et OWASSRF, deux tactiques d’attaques sur Microsoft Exchange Server.
Les méthodes utilisent 2 vulnérabilités connues : CVE-2022-41082 et CVE-2022-41080. Les vulnérabilités ont été corrigées par Microsoft le 30 septembre et le 8 novembre, respectivement. Seules les entreprises avec des variantes obsolètes sont à risque.
ProxyNotShell et OWASSRF
Bitdefender a inclus une description détaillée des stratégies derrière ProxyNotShell et OWASSRF dans son avis. En résumé, le mélange des vulnérabilités mentionnées ci-dessus permet l’exécution de code à distance.
La seule condition est que l’attaquant ait les qualifications de connexion d’un utilisateur. Cela n’a pas besoin d’être un administrateur : n’importe quel compte fera l’affaire.
La majorité des événements repérés par Bitdefender depuis novembre 2022 se sont déroulés aux États-Unis. L’activité en Pologne, en Autriche et en Turquie a été touchée. Les cibles sont diverses, allant des maisons de courtage et des cabinets d’avocats aux grossistes et aux sociétés de conseil.
Attaques SSRF
ProxyNotShell et OWASSRF sont classés comme des attaques SSRF, abréviation de contrefaçon de demande côté serveur. Certains systèmes n’écoutent que les serveurs dépendants. Une attaque SSRF implique un pirate informatique détournant ou manipulant un serveur de confiance pour atteindre un système.
Le problème dans Microsoft Exchange provient du fournisseur d’accès client (CAS), une partie de l’application responsable de toutes les requêtes HTTP/HTTPS externes. CAS détermine l’identité d’un utilisateur, par exemple, pour informer l’application si un utilisateur doit avoir accès à une boîte aux lettres.
Diverses parties de Microsoft Exchange écoutent CAS. En 2021, des chercheurs en sécurité ont découvert que CAS était sensible aux attaques SSRF. Pour ne citer que quelques exploits, les pirates ont abusé de CAS pour accéder aux boîtes aux lettres.
Atténuation
Les entreprises utilisant les dernières variantes de Microsoft Exchange sont en sécurité au moment de la rédaction. Chaque vulnérabilité associée a en fait été couverte par Microsoft. Cela n’empêche pas les cybercriminels d’attaquer les entreprises avec des variantes obsolètes.
Bitdefender recommande aux entreprises d’investir dans la gestion ponctuelle. En outre, la société de sécurité souligne l’efficacité des solutions de renseignement sur les dangers, qui reconnaissent les adresses IP suspectes pour bloquer les requêtes.
Toute l’actualité en temps réel, est sur L’Entrepreneur
