{"id":396452,"date":"2022-10-04T06:39:30","date_gmt":"2022-10-04T08:39:30","guid":{"rendered":"https:\/\/teknomers.com\/fr\/proxynotshell-le-nouvel-enfer-des-proxys\/"},"modified":"2022-10-04T06:39:32","modified_gmt":"2022-10-04T08:39:32","slug":"proxynotshell-le-nouvel-enfer-des-proxys","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/proxynotshell-le-nouvel-enfer-des-proxys\/","title":{"rendered":"ProxyNotShell \u2013 le nouvel enfer des proxys ?"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Surnomm\u00e9 ProxyNotShell, un nouvel exploit utilis\u00e9 dans la nature tire parti de la vuln\u00e9rabilit\u00e9 CVE-2022-41040 Microsoft Server-Side Request Forgery (SSRF) r\u00e9cemment publi\u00e9e et d&#8217;une deuxi\u00e8me vuln\u00e9rabilit\u00e9, CVE-2022-41082, qui permet l&#8217;ex\u00e9cution de code \u00e0 distance (RCE) lorsque PowerShell est disponible pour les attaquants non identifi\u00e9s.<\/p>\n<p>Bas\u00e9 sur ProxyShell, ce nouveau risque d&#8217;abus zero-day exploite une attaque en cha\u00eene similaire \u00e0 celle utilis\u00e9e dans l&#8217;attaque ProxyShell de 2021 qui exploitait la combinaison de plusieurs vuln\u00e9rabilit\u00e9s &#8211; CVE-2021-34523, CVE-2021-34473 et CVE-2021- 31207 &#8211; pour permettre \u00e0 un acteur distant d&#8217;ex\u00e9cuter du code arbitraire.<\/p>\n<p>Malgr\u00e9 la gravit\u00e9 potentielle des attaques qui les utilisent, les vuln\u00e9rabilit\u00e9s ProxyShell figurent toujours sur la liste CISA des principales vuln\u00e9rabilit\u00e9s r\u00e9guli\u00e8rement exploit\u00e9es en 2021.<\/p>\n<h2 style=\"text-align: left\">D\u00e9couvrez ProxyNotShell <\/h2>\n<p>Enregistr\u00e9 le 19 septembre 2022, CVE-2022-41082 est un vecteur d&#8217;attaque ciblant les serveurs Exchange de Microsoft, permettant des attaques de faible complexit\u00e9 avec peu de privil\u00e8ges requis.  Les services impact\u00e9s, s&#8217;ils sont vuln\u00e9rables, permettent \u00e0 un attaquant authentifi\u00e9 de compromettre le serveur d&#8217;\u00e9change sous-jacent en exploitant le PowerShell d&#8217;\u00e9change existant, ce qui pourrait entra\u00eener une compromission compl\u00e8te.<\/p>\n<p>\u00c0 l&#8217;aide de CVE-2022-41040, une autre vuln\u00e9rabilit\u00e9 Microsoft \u00e9galement enregistr\u00e9e le 19 septembre 2022, un attaquant peut d\u00e9clencher \u00e0 distance CVE-2022-41082 pour ex\u00e9cuter des commandes \u00e0 distance.<\/p>\n<p>Bien qu&#8217;un utilisateur doive avoir le privil\u00e8ge d&#8217;acc\u00e9der \u00e0 CVE-2022-41040, ce qui devrait r\u00e9duire l&#8217;accessibilit\u00e9 de la vuln\u00e9rabilit\u00e9 aux attaquants, le niveau de privil\u00e8ge requis est faible.<\/p>\n<p>Au moment de la r\u00e9daction de cet article, Microsoft n&#8217;a pas encore publi\u00e9 de correctif, mais recommande aux utilisateurs <a rel=\"nofollow noopener\" href=\"https:\/\/msrc-blog.microsoft.com\/2022\/09\/29\/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server\/\" target=\"_blank\">ajouter une r\u00e8gle de blocage<\/a> comme mesure d&#8217;att\u00e9nuation.<\/p>\n<p>Les deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes lors d&#8217;une attaque active contre GTSC, une organisation vietnamienne appel\u00e9e GTSC, permettant aux attaquants d&#8217;acc\u00e9der \u00e0 certains de leurs clients.  Bien qu&#8217;aucune vuln\u00e9rabilit\u00e9 en soi ne soit particuli\u00e8rement dangereuse, les exploits les encha\u00eenant pourraient potentiellement conduire \u00e0 des violations catastrophiques.<\/p>\n<p>Les vuln\u00e9rabilit\u00e9s encha\u00een\u00e9es pourraient donner \u00e0 un attaquant ext\u00e9rieur la possibilit\u00e9 de lire les e-mails directement depuis le serveur d&#8217;une organisation, la possibilit\u00e9 de violer l&#8217;organisation avec CVE-2022-41040 Remote Code Execution et d&#8217;implanter des logiciels malveillants sur le serveur Exchange de l&#8217;organisation avec CVE-2022-41082.<\/p>\n<p>Bien qu&#8217;il semble que les attaquants auraient besoin d&#8217;un certain niveau d&#8217;authentification pour activer l&#8217;exploit de vuln\u00e9rabilit\u00e9s en cha\u00eene, le niveau exact d&#8217;authentification requis &#8211; not\u00e9 &#8220;Faible&#8221; par Microsoft &#8211; n&#8217;est pas encore clarifi\u00e9.  Pourtant, ce faible niveau d&#8217;authentification requis devrait emp\u00eacher efficacement une attaque massive et automatis\u00e9e ciblant tous les serveurs Exchange du monde entier.  Esp\u00e9rons que cela emp\u00eachera une r\u00e9p\u00e9tition de la d\u00e9b\u00e2cle ProxyShell 2021.<\/p>\n<p>Pourtant, trouver une seule combinaison adresse e-mail\/mot de passe valide sur un serveur Exchange donn\u00e9 ne devrait pas \u00eatre trop difficile, et, comme cette attaque contourne la validation du jeton MFA ou FIDO pour se connecter \u00e0 Outlook Web Access, une seule combinaison adresse e-mail\/mot de passe compromise est tout. cela est n\u00e9cessaire.<\/p>\n<h2 style=\"text-align: left\">Att\u00e9nuation de l&#8217;exposition \u00e0 ProxyNotShell<\/h2>\n<p>Au moment de la r\u00e9daction de cet article, Microsoft n&#8217;a pas encore publi\u00e9 de correctif, mais recommande aux utilisateurs <a rel=\"nofollow noopener\" href=\"https:\/\/msrc-blog.microsoft.com\/2022\/09\/29\/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server\/\" target=\"_blank\">ajouter une r\u00e8gle de blocage<\/a> comme mesure d&#8217;att\u00e9nuation d&#8217;efficacit\u00e9 inconnue.<\/p>\n<p>Le blocage du trafic entrant vers les serveurs Exchange contenant des assertions critiques est \u00e9galement une option, bien que r\u00e9alisable uniquement si une telle mesure n&#8217;affecte pas les op\u00e9rations vitales et devrait id\u00e9alement \u00eatre per\u00e7ue comme une mesure temporaire en attendant la publication par Microsoft d&#8217;un correctif v\u00e9rifi\u00e9.<\/p>\n<h2 style=\"text-align: left\">\u00c9valuation de l&#8217;exposition \u00e0 ProxyNotShell<\/h2>\n<p>Comme les options d&#8217;att\u00e9nuation actuelles sont soit d&#8217;une efficacit\u00e9 non v\u00e9rifi\u00e9e, soit potentiellement pr\u00e9judiciables au bon d\u00e9roulement des op\u00e9rations, l&#8217;\u00e9valuation du degr\u00e9 d&#8217;exposition \u00e0 ProxyNotShell pourrait emp\u00eacher de prendre des mesures pr\u00e9ventives inutiles potentiellement perturbatrices, ou indiquer quels actifs migrer de mani\u00e8re pr\u00e9ventive vers des serveurs non expos\u00e9s.<\/p>\n<p>Cymulate Research Lab a d\u00e9velopp\u00e9 un <a rel=\"nofollow noopener\" href=\"https:\/\/cymulate.com\/free-trial\/\" target=\"_blank\">\u00e9valuation sur mesure pour ProxyNotShell<\/a> qui permettent aux organisations d&#8217;estimer pr\u00e9cis\u00e9ment leur degr\u00e9 d&#8217;exposition \u00e0 ProxyNotShell.<\/p>\n<p>Un vecteur d&#8217;attaque ProxyNotShell a \u00e9t\u00e9 ajout\u00e9 aux mod\u00e8les de sc\u00e9narios avanc\u00e9s, et son ex\u00e9cution sur votre environnement fournit les informations n\u00e9cessaires pour valider l&#8217;exposition &#8211; ou son absence &#8211; \u00e0 ProxyNotShell.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"ProxyNotShell\" border=\"0\" data-original-height=\"330\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/ProxyNotShell-\u2013-le-nouvel-enfer-des-proxys.png\" title=\"ProxyNotShell\" \/><\/div>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"ProxyNotShell\" border=\"0\" data-original-height=\"371\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/1664872770_139_ProxyNotShell-\u2013-le-nouvel-enfer-des-proxys.png\" title=\"ProxyNotShell\" \/><\/div>\n<p>Jusqu&#8217;\u00e0 ce que des correctifs v\u00e9rifi\u00e9s soient disponibles aupr\u00e8s de Microsoft, \u00e9valuer l&#8217;exposition \u00e0 ProxyNotShell pour \u00e9valuer exactement quels serveurs sont des cibles potentielles est le moyen le plus rentable d&#8217;\u00e9valuer exactement quels actifs sont expos\u00e9s et de concevoir des mesures pr\u00e9ventives cibl\u00e9es avec un impact maximal.<\/p>\n<p>Par <a rel=\"nofollow noopener\" href=\"https:\/\/cymulate.com\/\" target=\"_blank\">Laboratoires de recherche Cymulate<\/a><\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/proxynotshell-new-proxy-hell.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Surnomm\u00e9 ProxyNotShell, un nouvel exploit utilis\u00e9 dans la nature tire parti de la vuln\u00e9rabilit\u00e9 CVE-2022-41040 Microsoft Server-Side Request Forgery (SSRF) r\u00e9cemment publi\u00e9e et d&#8217;une deuxi\u00e8me vuln\u00e9rabilit\u00e9, CVE-2022-41082, qui permet l&#8217;ex\u00e9cution de code \u00e0 distance (RCE) lorsque PowerShell est disponible pour les attaquants non identifi\u00e9s. Bas\u00e9 sur ProxyShell, ce nouveau risque d&#8217;abus zero-day exploite une attaque [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":396453,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,133,13307,4157,4159,4171,4170,4167,4160,716,4163,4162,114127,29605,4172,4169,4166,4164],"class_list":["post-396452","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-enfer","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvel","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-proxynotshell","tag-proxys","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/396452","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=396452"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/396452\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/396453"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=396452"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=396452"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=396452"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}