ProxyShell
Qu'est-ce que ProxyShell ?
ProxyShellChaîne d'exploits de 2021 dans Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) combinant trois failles pour aboutir à une exécution de code à distance non authentifiée.
ProxyShell est le nom d'une chaîne de trois vulnérabilités de Microsoft Exchange Server démontrée par le chercheur Orange Tsai (DEVCORE) au Pwn2Own 2021 et détaillée à Black Hat USA. La chaîne assemble une faille de confusion de chemins/SSRF pré-authentification dans la gestion d'Autodiscover par le Client Access Service (CVE-2021-34473), une faille d'élévation de privilèges dans le backend PowerShell d'Exchange (CVE-2021-34523) et une écriture de fichier arbitraire post-authentification via la fonction d'export de boîte aux lettres de PowerShell (CVE-2021-31207).
L'exploit fonctionne parce que le frontend Exchange relaie les requêtes vers les endpoints du backend en utilisant le puissant contexte machine NT AUTHORITY\SYSTEM. En faisant passer en contrebande une URL Autodiscover forgée, l'attaquant atteint le backend PowerShell en tant qu'utilisateur privilégié, génère un jeton élevé, puis se sert d'un export de boîte aux lettres pour écrire un fichier PST contenant une web shell dans un répertoire accessible depuis Internet — transformant trois bugs « de moindre gravité » en une RCE SYSTEM non authentifiée. De façon déroutante, CVE-2021-34473 et CVE-2021-34523 ont été corrigées en silence dans la mise à jour cumulative d'avril 2021 avant que les avis n'apparaissent en juillet, si bien que de nombreux administrateurs n'ont pas réalisé qu'ils étaient affectés.
Le scan de masse et le déploiement de web shells .aspx ont débuté quelques jours après les avis d'août 2021 ; les ransomwares LockFile et Conti l'ont exploité pour l'accès initial. Défenses : appliquer les mises à jour cumulatives de 2021, activer l'Exchange Emergency Mitigation Service, traquer les web shells inattendues et partir du principe qu'une compromission d'Exchange on-premise précède le correctif.
flowchart TD A[Attaquant non authentifié] --> B[URL Autodiscover forgée<br/>CVE-2021-34473 confusion de chemins/SSRF] B --> C[Le frontend relaie vers le backend<br/>en tant que NT AUTHORITY/SYSTEM] C --> D[Atteinte du backend PowerShell d'Exchange<br/>CVE-2021-34523 élévation de privilèges] D --> E[New-MailboxExportRequest<br/>CVE-2021-31207 écriture de fichier arbitraire] E --> F[Écriture d'une web shell .aspx<br/>vers un chemin accessible depuis le web] F --> G[Exécution de code à distance en tant que SYSTEM] G --> H[Ransomware / déplacement latéral]
● Exemples
- 01
Des attaquants déployant des web shells ASPX sur des serveurs Exchange exposés à Internet immédiatement après la publication des PoC ProxyShell.
- 02
Des groupes de ransomware utilisant ProxyShell comme vecteur d'accès initial avant de chiffrer les réseaux des victimes.
● Questions fréquentes
Qu'est-ce que ProxyShell ?
Chaîne d'exploits de 2021 dans Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) combinant trois failles pour aboutir à une exécution de code à distance non authentifiée. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie ProxyShell ?
Chaîne d'exploits de 2021 dans Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) combinant trois failles pour aboutir à une exécution de code à distance non authentifiée.
Comment se défendre contre ProxyShell ?
Les défenses contre ProxyShell combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de ProxyShell ?
Noms alternatifs courants : Exchange ProxyShell, Orange Tsai Exchange chain.