Back to blog
ProxyLogonExchangeMicrosoftCVE-2021-26855SSRFRCE

ProxyLogon CVE-2021-26855 : la faille critique Microsoft Exchange

ProxyLogon est l'une des vulnérabilités Exchange les plus exploitées de l'histoire. Analyse de CVE-2021-26855, de la chaîne d'exploitation complète et des mesures de remédiation.

April 23, 20263 min read

En mars 2021, Microsoft révélait ProxyLogon — une chaîne de vulnérabilités dans Microsoft Exchange Server permettant à n'importe quel attaquant sur internet de compromettre totalement un serveur Exchange sans authentification. Avant même la publication du patch, des dizaines de milliers de serveurs avaient été compromis par des groupes APT chinois.

La chaîne ProxyLogon

ProxyLogon n'est pas une seule CVE mais une chaîne de quatre vulnérabilités qui, combinées, donnent accès complet au serveur :

CVE-2021-26855 — SSRF pré-authentifiée (CVSS 9.8)

La vulnérabilité centrale. Une Server-Side Request Forgery dans le composant de proxy d'Exchange permet à un attaquant de contourner l'authentification en envoyant des requêtes HTTP spécialement forgées. L'attaquant peut ainsi usurper n'importe quel utilisateur Exchange, y compris l'administrateur.

CVE-2021-26857 — Désérialisation non sécurisée (CVSS 7.8)

Une faille de désérialisation dans le service Unified Messaging permet d'exécuter du code avec les privilèges SYSTEM. Nécessite des droits administrateur Exchange — obtenus via CVE-2021-26855.

CVE-2021-26858 et CVE-2021-27065 — Écriture de fichiers arbitraires (CVSS 7.8)

Après authentification (obtenue via la SSRF), ces vulnérabilités permettent d'écrire n'importe quel fichier sur le serveur, y compris des web shells dans des répertoires accessibles publiquement.

La chaîne complète

Internet → CVE-2021-26855 (SSRF) → Contournement auth
         → CVE-2021-26858 ou 27065 → Web shell déposé
         → Accès complet au serveur

Versions affectées :

  • Exchange Server 2013, 2016, 2019 (on-premises uniquement)
  • Exchange Online (Microsoft 365) non affecté

Exploitation massive avant le patch

Le groupe APT HAFNIUM (attribué à la Chine par Microsoft) exploitait ces vulnérabilités depuis janvier 2021, soit deux mois avant la divulgation publique. D'autres groupes ont rapidement suivi après la publication des patches le 2 mars 2021.

Ampleur de l'attaque

  • 250 000+ serveurs Exchange compromis en quelques jours
  • 30 000 organisations aux États-Unis touchées selon KrebsOnSecurity
  • Des web shells China Chopper déposés sur des milliers de serveurs gouvernementaux, industriels et universitaires
  • La CISA a émis une directive d'urgence obligeant les agences fédérales à patcher sous 24h

Ce que faisaient les attaquants

Une fois le web shell déposé, les attaquants :

  1. Exfiltraient les boîtes mail complètes (emails, contacts, calendriers)
  2. Pivotaient vers l'Active Directory pour élever les privilèges au niveau Domain Admin
  3. Installaient des backdoors persistants (Cobalt Strike, etc.)
  4. Certains déployaient des ransomwares semaines plus tard

Détecter une compromission

Microsoft a publié un script de détection officiel :

# Télécharger et exécuter le script Microsoft
Invoke-WebRequest -Uri https://github.com/microsoft/CSS-Exchange/releases/latest/download/Test-ProxyLogon.ps1 -OutFile Test-ProxyLogon.ps1
.\Test-ProxyLogon.ps1 -OutPath $home\desktop\logs

Indicateurs de compromission (IOCs)

Vérifiez la présence de web shells dans ces répertoires :

C:\inetpub\wwwroot\aspnet_client\
C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\
C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\ecp\auth\

Cherchez des fichiers .aspx récents non légitimes. Les noms courants utilisés par les attaquants : web.aspx, help.aspx, document.aspx, errorEE.aspx.

Dans les logs IIS, recherchez des requêtes vers /owa/auth/ contenant X-AnonResource-Backend ou X-BEResource.

Remédiation

1. Patcher immédiatement

Les patches sont disponibles pour Exchange 2013, 2016 et 2019. Appliquez les Cumulative Updates (CU) correspondants.

2. Si compromis : isoler avant de patcher

Isoler le serveur Exchange du réseau, analyser les logs, identifier et supprimer les web shells, changer tous les mots de passe (comptes Exchange, administrateurs locaux, Active Directory).

3. Réduire la surface d'exposition

  • N'exposez Exchange sur internet que si nécessaire
  • Utilisez un WAF (Web Application Firewall) devant Exchange
  • Activez l'authentification multifacteur
  • Envisagez la migration vers Exchange Online (non affecté)

4. Surveiller en continu

Activez les logs d'audit Exchange et envoyez-les vers un SIEM. Les attaquants reviennent souvent mois après l'infection initiale.

ProxyShell : la suite en 2021

Quelques mois après ProxyLogon, des chercheurs découvraient ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) — une autre chaîne critique dans Exchange, exploitée massivement à l'été 2021. Exchange on-premises est régulièrement ciblé : si vous l'utilisez encore, le patch management doit être une priorité absolue.

Vérifiez les CVE Exchange qui vous concernent sur cveo.tech — enregistrez votre version dans votre parc pour recevoir des alertes automatiques.

Monitor CVEs with AI

AI-powered search, CVSS scoring, asset monitoring and automatic alerts.

Try AI search →Create free account

Related articles

Patch Management Guide: How to Handle CVEs Quickly and Effectively

Learn how to build a robust CVE patch management process: SLAs by severity, key steps, tools, and common mistakes to avoid to protect your infrastructure.

How to Monitor CVE Vulnerabilities Across Your IT Assets

A complete guide to tracking and managing CVEs affecting your IT infrastructure: methods, tools, and best practices for IT teams and security managers.

How to Conduct a CVE Security Audit of Your IT Infrastructure

Complete guide to conducting a CVE security audit: asset inventory, vulnerability scanning, CVSS scoring, remediation planning, and CISO best practices.