Les équipes sécurité en entreprises ont beaucoup de fil à retordre avec Exchange. Il faut dire que la solution serveur de messagerie de Microsoft constitue une porte d'entrée aussi évidente que pratique pour les pirates d'accéder au coeur du SI d'une entreprise. Parmi l'éventail varié des vecteurs d'attaques auxquels ils sont confrontés, on trouve en particulier les failles de type SSRF (Server-Side Request Forgery). Dans un billet de blog, Bitdefender a fait le point sur ces failles affectant les serveurs Exchange qui ne vont pas en s'arrangeant depuis quelques mois.
« Fin novembre 2022, les experts de Bitdefender Labs ont commencé à remarquer une augmentation des attaques utilisant les chaînes d'exploits ProxyNotShell/OWASSRF pour cibler les déploiements Microsoft Exchange sur site », indique l'éditeur de sécurité Bitdefender. « Les attaques SSRF sur les serveurs Microsoft Exchange font partie des vulnérabilités les plus populaires et les plus régulièrement exploitées ». Dans le cadre d'une attaque SSRF, un pirate effectue une requête piégée spécifique visant un serveur vulnérable avec pour but d'accéder à des ressources ou des informations qui ne sont pas directement accessibles, et effectuer dessus des actions malveillantes.
Deux chaines d'exploit actives
A ce jour, deux chaînes d'exploit ont été identifiées et sont toujours actives. La première est ProxyNotShell, combinant les failles CVE-2022-41080 et CVE-2022-41082, corrigées par Microsoft en novembre dernier. La seconde est connue en tant qu'OWASSRF. Tirant profit de ces deux mêmes vulnérabilités, elle s'avère plus problématique et a été utilisée lors de la dernière attaque ayant visé Rackspace en décembre dernier. « La différence est qu'au lieu d'utiliser le point de terminaison de service Autodiscover, elle vise le point de terminaison de service OWA à partir de l'interface CAS. En modifiant le point de terminaison de service ciblé par l'attaque SSRF, les pirates peuvent contourner les conseils d'atténuation de Microsoft », prévient Bitdefender. Depuis novembre dernier, environ 100 000 serveurs Exchange seraient touchés par cette chaine d'exploit.
Pour limiter les risques et réduire la surface d'attaque, l'éditeur recommande plusieurs actions comme appliquer strictement les mises à jour de correctifs de Windows mais aussi de toutes les applications et services exposés sur Internet. Également être très vigilant en matière de détection des erreurs de configuration, passer au crible la réputation des IP et des URL en bloquant celles considérées comme mauvaises. Sans oublier de la détection d'incidents.