Dans son bulletin d'actualité CERTFR-2021-ACT-035 du 12 août 2021 [\[1\]](http://suite%20à%20la%20publication%20d'une%20technique%20permettant%20de%20prendre%20le%20contrôle%20d'un%20serveur%20Microsoft%20Exchange), le CERT-FR revenait sur la publication d'une technique permettant de prendre le contrôle d'un serveur Microsoft Exchange. La technique, dénommée "*ProxyShell*" s'appuie sur l'existence de plusieurs vulnérabilités corrigées en avril et en mai 2021 [\[4\]](/avis/CERTFR-2021-AVI-369/) (mais annoncées en juillet) [\[2\]](/avis/CERTFR-2021-AVI-522/) [\[3\]](/actualite/CERTFR-2021-ACT-030/). Récemment, le CERT-FR a pris connaissance d'activités malveillantes qui pourraient-être basées sur une exploitation de ces vulnérabilités et ciblant les serveurs Microsoft Exchange d'entités françaises. Le CERT-FR a signalé l'existence de serveurs vulnérables exposés sur Internet à leurs propriétaires, mais sans possibilité d'exhaustivité. Par conséquent le CERT-FR rappelle les recommandations suivantes : - appliquer immédiatement les correctifs de sécurité fournis par l’éditeur sur l’ensemble des serveurs Exchange vulnérables exposés sur Internet puis en interne ; - procéder à l’analyse des serveurs Exchange afin d’identifier une possible activité anormale à l'aide des informations fournies dans notre bulletin CERTFR-2021-ACT-035 et la présence de *webshells* ; - en cas de compromission, contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory. Enfin, le CERT-FR rappelle que les serveurs Microsoft Exchange ne devraient pas être exposés sans protection sur Internet. Il est fortement recommandé d’appliquer les bonnes pratiques publiées par l’ANSSI pour ce type service [\[5\]](https://www.ssi.gouv.fr/guide/recommandations-sur-le-nomadisme-numerique/).
EPSS 93.84% · 99.9th percentile