ProxyToken, eller CVE-2021-33766 er en alvorlig sikkerhedsrisiko i Microsoft Exchange, der kan give en ikke-godkendt trusselsaktør adgang til og stjæle e-mails fra offerets postkasse.
Problemet blev rapporteret til Zero Day Initiative i marts 2021 af forsker Le Xuan Tuyen fra VNPT ISC, og det blev lappet af Microsoft i juli 2021 Udveksle kumulative opdateringer.
Mere specifikt, ProxyToken kan give en ikke -godkendt angriber mulighed for at udføre konfigurationshandlinger på postkasser. Med hensyn til effekt, fejlen kunne misbruges til at kopiere alle e -mails adresseret til et mål, og videresende dem til en angriberkontrolleret konto.
Hvad forårsager ProxyToken (CVE-2021-33766) sårbarhed?
Fejlen stammer fra en bestemt funktion kaldet delegeret autentificering, som sender godkendelsesanmodninger fra forenden til bagenden. Anmodningerne indeholder en SecurityToken -cookie til identifikationsformål. Hvis frontenden opdager en ikke-tom cookie med titlen SecurityToken, det delegerer godkendelse til bagenden. Det er bemærkelsesværdigt, at Microsoft Exchange skal konfigureres specifikt, så bagenden udfører godkendelsen, hvorimod i en standardkonfiguration, det DelegatedAuthModule -modul, der er ansvarligt for det, indlæses ikke.
“Sammenfattende, når frontend ser cookien SecurityToken, den ved, at bagenden alene er ansvarlig for godkendelse af denne anmodning. I mellemtiden, bagenden er fuldstændig uvidende om, at den skal godkende nogle indkommende anmodninger baseret på SecurityToken -cookien, da DelegatedAuthModule ikke er indlæst i installationer, der ikke er konfigureret til at bruge den særlige delegerede godkendelsesfunktion. Nettoresultatet er, at anmodninger kan sejle igennem, uden at blive udsat for godkendelse på hverken for- eller bagenden," ifølge Zero Day Initiatives rapport.
ProxyToken -udnyttelsen kræver, at angriberen har en konto på den samme Exchange -server som offeret. Udnyttelsen installerer en videresendelsesregel, der gør det muligt for angriberen at læse alle offerets indgående beskeder.
“På nogle Exchange -installationer, en administrator kan have angivet en global konfigurationsværdi, der tillader videresendelsesregler med vilkårlige internetdestinationer, og i så fald, angriberen behøver slet ingen Exchange -legitimationsoplysninger. Endvidere, da hele /ecp -webstedet potentielt er påvirket, forskellige andre udnyttelsesmidler kan også være tilgængelige,”Noterer rapporten.
ProxyToken -udnyttelsen er en anden tilføjelse til en række Microsoft Exchange -exploits, Herunder ProxyLogon, ProxyShell, og ProxyOracle.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: