La découverte de vulnérabilités Zero-Day ProxyNotShell replonge les serveurs Exchange dans un niveau de risque élevé en attendant la correction Microsoft. Le point sur la menace, avec l’équipe Stormshield Customer Security Lab.
Nouvelle version du 04.10.22.
Le contexte des vulnérabilités ProxyNotShell
Durant une analyse de type réponse sur incident, une équipe de SOC/CERT a découvert que le système d’information avait été attaqué à travers des vulnérabilités sur un serveur Microsoft Exchange. Encore inconnues par Microsoft et donc non patchées, ce sont deux vulnérabilités critiques Zero-days : une SSRF (Server Side Request Forgery) et une RCE (Remote Code Execution) qui s'enchainent.
Plus précisément, ces vulnérabilités ont été référencées au ZDI (Zero Day Initiative). Il s’agit de la ZDI-CAN-18333 avec un score de 8.8 et de la ZDI-CAN-18802 avec un score de 6.3. Les CVE viennent d’être publiées sous les matricules CVE-2022-41040 et CVE-2022-41082, cette dernière étant scorée CVSS 3.1 à 9.6.
Ces vulnérabilités sont très proches de ProxyShell découverte en 2021 (CVE-2021-34473), à tel point qu’on peut se demander si ce sont réellement de nouvelles vulnérabilités. Cependant, les versions corrigées d’Exchange sont vulnérables à ces nouvelles techniques d’exploitation, il s’agit donc bien de nouvelles vulnérabilités. Derrière le nom « ProxyNotShell », se cachent ces deux vulnérabilités.
Les détails techniques des vulnérabilités ProxyNotShell
La vulnérabilité RCE impacte les serveurs Windows Echange on-premise et ayant Outlook Web Access d’activé.
Pour l’exploiter, un attaquant provoquera l'envoi d'une requête SOAP «autodiscover» préparée sur mesure, dans un format similaire à la vulnérabilité ProxyShell, de type : POST/autodiscover/autodiscover.json?@toto.com/PowerShell/[...]HTTP/1.1
Ce type de requête va provoquer l’exécution à distance d’un code PowerShell, afin, par exemple, de déposer un Web Shell sur le serveur et prendre le contrôle de celui-ci à distance. Le processus Exchange ayant un haut niveau de privilège, il s’agit d’une porte d’accès très efficace pour prendre le contrôle total du serveur.
Les versions impactées par les vulnérabilités ProxyNotShell
Les versions de Microsoft Exchange 2013, 2016 et 2019 sont impactées.
Les moyens de protection fournis par Stormshield
Stormshield Network Security
Une signature IPS a été publiée sur SNS, elle permet de détecter l’exploitation de la vulnérabilité RCE. Cette signature nécessite un déchiffrement SSL préalable pour être fonctionnelle.
- http:url:decoded → Exploitation of Microsoft Exchange ProxyNotShell vulnerability (CVE-2022-41040, CVE-2022-41082)
Indice de confiance de la protection proposée par Stormshield |
Indice de confiance de l’absence de faux positif |
Stormshield Endpoint Security Evolution
Avec la solution SES (7.2 et Evolution) installée sur le serveur Exchange, il sera possible de détecter d’éventuels comportements malveillants faisant suite à l’exploitation de la vulnérabilité.
Nous avons publié une politique de sécurité composée de 2 jeux de règles (pour SES Evolution 2.3 et supérieur) permettant de détecter la présence des marqueurs de fichiers (hash) listés dans ce document et de bloquer les connexions aux serveurs C2.
Cette politique de sécurité est disponible dans le serveur de mises à jour, elle s’appelle « Stormshield - Windows server policy ». Elle comporte les jeux de règles suivants :
- Stormshield - Blocklist ruleset for network communication to known malicious actors
- Stormshield - Audits for known dangerous behaviour
Autres recommandations
Microsoft a publié un premier outil (EOMTv2), qui fournit aux administrateurs des mesures d'atténuation face à la vulnérabilité CVE-2022-41040. Il est important de noter que le script doit être exécuté individuellement pour chaque serveur.
IOCs et infos utiles
L’ensemble des indicateurs de compromission suivant ont été intégrés à nos solutions de protection (Breach Fighter, SNS & SES).
Nom de fichiers et hash :
pxh4HG1v.ashx
[SHA256] c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
RedirSuiteServiceProxy.aspx
[SHA256] 65a002fe655dc1751add167cf00adf284c080ab2e97cd386881518d3a31d27f5
RedirSuiteServiceProxy.aspx
[SHA256] b5038f1912e7253c7747d2f0fa5310ee8319288f818392298fd92009926268ca
Xml.ashx
[SHA256] c838e77afe750d713e67ffeb4ec1b82ee9066cbe21f11181fd34429f70831ec1
errorEE.aspx
[SHA256] be07bd9310d7a487ca2f49bcdaafb9513c0c8f99921fdf79a05eaba25b52d257
Dll.dll
[SHA256] 074eb0e75bb2d8f59f1fd571a8c5b76f9c899834893da6f7591b68531f2b5d82
[SHA256] 45c8233236a69a081ee390d4faa253177180b2bd45d8ed08369e07429ffbe0a9
[SHA256] 9ceca98c2b24ee30d64184d9d2470f6f2509ed914dafb87604123057a14c57c0
[SHA256] 29b75f0db3006440651c6342dc3c0672210cfb339141c75e12f6c84d990931c3
[SHA256] c8c907a67955bcdf07dd11d35f2a23498fb5ffe5c6b5d7f36870cf07da47bff2
80000000.dll
[SHA256] 76a2f2644cb372f540e179ca2baa110b71de3370bb560aca65dcddbd7da3701e
IP & URL
125[.]212[.]220[.]48
5[.]180[.]61[.]17
47[.]242[.]39[.]92
61[.]244[.]94[.]85
86[.]48[.]6[.]69
86[.]48[.]12[.]64
94[.]140[.]8[.]48
94[.]140[.]8[.]113
103[.]9[.]76[.]208
103[.]9[.]76[.]211
104[.]244[.]79[.]6
112[.]118[.]48[.]186
122[.]155[.]174[.]188
125[.]212[.]241[.]134
137[.]184[.]67[.]33
185[.]220[.]101[.]182
194[.]150[.]167[.]88
206[.]188[.]196[.]77
212[.]119[.]34[.]11
