Résumé
Dans son bulletin d'actualité CERTFR-2021-ACT-035 du 12 août 2021
[1],
le CERT-FR revenait sur la publication d'une technique permettant de
prendre le contrôle d'un serveur Microsoft Exchange. La technique,
dénommée "ProxyShell" s'appuie sur l'existence de plusieurs
vulnérabilités corrigées en avril et en mai 2021
[4] (mais
annoncées en juillet)
[2]
[3].
Récemment, le CERT-FR a pris connaissance d'activités malveillantes qui
pourraient-être basées sur une exploitation de ces vulnérabilités et
ciblant les serveurs Microsoft Exchange d'entités françaises.
Le CERT-FR a signalé l'existence de serveurs vulnérables exposés sur
Internet à leurs propriétaires, mais sans possibilité d'exhaustivité.
Par conséquent le CERT-FR rappelle les recommandations suivantes :
- appliquer immédiatement les correctifs de sécurité fournis par
l’éditeur sur l’ensemble des serveurs Exchange vulnérables exposés
sur Internet puis en interne ;
- procéder à l’analyse des serveurs Exchange afin d’identifier une
possible activité anormale à l'aide des informations fournies dans
notre bulletin CERTFR-2021-ACT-035 et la présence de webshells ;
- en cas de compromission, contrôler le système d’information pour
détecter d’éventuelles latéralisations ainsi qu’une compromission
des serveurs Active Directory.
Enfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne
devraient pas être exposés sans protection sur Internet. Il est
fortement recommandé d’appliquer les bonnes pratiques publiées par
l’ANSSI pour ce type service
[5].