Microsoft Exchange ProxyShell

ProxyShell représente un ensemble de vulnérabilités qui permettent l’exécution de code à distance sur les serveurs Microsoft Exchange.
Les vulnérabilités se situent dans le service d'accès client de Microsoft (CAS) qui s'exécute généralement sur le port 443 d'IIS (le serveur web de Microsoft).

Le groupe de Cyber attaquants Lockfile exploite activement cette vulnérabilité pour répandre un ransomware ayant un impact critique sur l’activité des entreprises ciblées.

Microsoft a attribué les références à la suite à ces nouvelles vulnérabilités (chaque lien renvoie vers le statut de traitement de la menace par Microsoft ainsi que vers les mises à jour mis à disposition par l’éditeur)

CVE-2021-34473,

CVE-2021-34523,

CVE-2021-31207.

Nos recommandations :

1 - Appliquer les dernières mises à jour cumulatives de Microsoft Exchange :
 
CVE-2021-34473 : Vulnérabilité de confusion de chemin pré-auth pour contourner le contrôle d'accès, corrigée dans KB5001779.

CVE-2021-34523 : Vulnérabilité d'élévation de privilège dans le backend PowerShell d'Exchange, correctif dans KB5001779.

CVE-2021-31207 : Exécution de code à distance post-auth via une écriture de fichier arbitraire, correctif dans KB5003435.
 
2 - Assurez-vous que vous avez appliqué les mises à jour de sécurité de juillet 2021 pour Microsoft Exchange.
 
3 – Vérifiez l’ensemble des machines de votre réseau pour bloquer toute infection par déplacement latéral.
 
Accompagnement de Konica Minolta  : 

Konica Minolta vous accompagne pour mettre en place à votre demande ces mesures de contournement. Si vous êtes sous contrat de maintenance informatique, vous pouvez contacter notre service desk par téléphone (de 8h à 18h) au 0825 350 350 (0,18€ TTC/min) ou par mail servicedesk@konicaminolta.fr.

Si vous n’êtes pas sous contrat de maintenance informatique : vous pouvez contacter votre responsable commercial Konica Minolta pour identifier les moyens d’accompagnement (offre de service décomptée à l’unité ou sur devis).