AlertesExploitation en cours de la chaîne d’exploit ProxyShell

Numéro : AL21-017
Date : 24 août 2021

AUDITOIRE

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.

OBJET

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Au reste, le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

VUE D’ENSEMBLE

Le Centre pour la cybersécurité est au courant du balayage et de l’exploitation en cours de la chaîne d’exploit ProxyShell touchant les serveurs Microsoft Exchange non corrigés. En avril et en mai 2021, Microsoft a publié des mises à jour pour corriger à ces vulnérabilités.

DÉTAILS

Le Centre pour la cybersécurité est au courant du balayage et de l’exploitation en cours de la chaîne d’exploit ProxyShell touchant les serveurs Microsoft Exchange non corrigés. Les trois vulnérabilités suivantes sont liées à la chaîne d’exploit ProxyShell :

  • CVE-2021-34473 [1];
  • CVE-2021-34523 [2];
  • CVE-2021-31207 [3].

Microsoft a publié des mises à jour faisant état de ces vulnérabilités lors de ses mises à jour de sécurité mensuelles d’avril et de mai 2021 [4][5][6].

ProxyShell exploite une vulnérabilité liée au service Microsoft Exchange Autodiscover pour accéder à une URL principale arbitraire menant à l’accès au système en tant qu’utilisateur privilégié. Un auteur malveillant peut tirer parti de ProxyShell pour obtenir le contrôle complet du système touché.

Le Centre pour la cybersécurité est au courant qu’un code d’exploit public est accessible.

ATTÉNUATION

Microsoft a publié des mises à jour faisant état de ces vulnérabilités lors de ses mises à jour de sécurité mensuelles d’avril et de mai 2021 [4][5][6].

Le Centre pour la cybersécurité recommande fortement aux organisations d’appliquer immédiatement les mises à jour restantes pour corriger ces vulnérabilités et de vérifier qu’il n’y a aucun signe d’activités anormales.

RÉFÉRENCES

[1] Article de la base de connaissances Windows – CVE-2021-34473 :
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473

[2] Article de la base de connaissances Windows – CVE-2021-34523 :
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523  

[3] Article de la base de connaissances Windows – CVE-2021-31207 :
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207  

[4] Bulletin de sécurité Microsoft – Correctif cumulatif mensuel d’avril 2021 (Bulletin du Centre pour la cybersécurité – AV21-157)
https://cyber.gc.ca/fr/avis/bulletin-de-securite-microsoft-correctif-cumulatif-mensuel-davril-2021

[5] Bulletin de sécurité Microsoft – Correctif cumulatif mensuel d’avril 2021 (Bulletin du Centre pour la cybersécurité – AV21-219)
https://cyber.gc.ca/fr/avis/bulletin-de-securite-microsoft-correctif-cumulatif-mensuel-de-mai-2021

[6] Blog de l’équipe Microsoft Exchange – Mises à jour de sécurité Exchange Server – Mai 2021
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-may-2021-exchange-server-security-updates/ba-p/2335209 (en anglais seulement)  

 

NOTE AUX LECTEURS

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences qui en découlent. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

Dernière mise à jour: