Des dizaines de milliers de serveurs Microsoft Exchange (s’ouvre dans un nouvel onglet) sont toujours vulnérables à une faille de haute gravité utilisée dans les exploits ProxyNotShell, ont averti les chercheurs.
Les chercheurs en cybersécurité de la Shadowserver Foundation ont déclaré que près de 70 000 adresses IP étaient vulnérables à CVE-2022-41082, une vulnérabilité d’exécution de code à distance (RCE) corrigée début novembre de l’année dernière.
Au moment de mettre sous presse, les données de Shadowserver affichent au moins 57 000 adresses IP vulnérables, bien que les informations soient accompagnées d’une clause de non-responsabilité indiquant que les résultats ont été « calculés en additionnant le nombre d’adresses IP uniques, ce qui signifie qu’une adresse IP » unique « peut avoir été comptée plus d’une fois ».
Atténuations et correctifs
« Tous les chiffres doivent être traités comme indicatifs plutôt qu’exacts », a déclaré Shadowserver – mais des chiffres en baisse pourraient être une indication d’une tendance positive.
Il existe deux vulnérabilités très graves appelées ProxyNotShell – la CVE-2022-41082 susmentionnée et la CVE-2022-41040, une faille d’élévation des privilèges qui a également été corrigée début novembre. Les terminaux concernés incluent Exchange Server 2013, 2016 et 2019.
Bien qu’il existe des mesures d’atténuation disponibles, les chercheurs exhortent les professionnels de l’informatique à appliquer le correctif à la place, car les mesures d’atténuation peuvent être contournées. Un rapport de BipOrdinateur ont vu des opérateurs de rançongiciels utiliser une chaîne d’exploitation récemment découverte pour contourner certaines mesures d’atténuation de ProxyNotShell et exécuter du code malveillant à distance sur les appareils cibles.
Les serveurs Exchange sont précieux pour les pirates et, en tant que tels, sont souvent ciblés. Par exemple, le tristement célèbre groupe LockBit a récemment été surpris en train de déployer des logiciels malveillants via des serveurs Exchange compromis. L’été dernier, deux serveurs appartenant à une même entreprise ont été infectés par LockBit 3.0. Selon le rapport, les attaquants ont d’abord déployé un shell Web, puis ont transmis les privilèges à l’administrateur d’Active Directory une semaine plus tard, ont volé environ 1,3 To de données et chiffré les systèmes hébergés sur le réseau.
À la fin de l’année dernière, des chercheurs ont découvert une campagne malveillante tentant d’exploiter également la vulnérabilité ProxyShell déjà corrigée dans Microsoft Exchange.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)