ProxyToken, oder CVE-2021-33766 ist eine schwerwiegende Sicherheitslücke in Microsoft Exchange, die es einem nicht authentifizierten Bedrohungsakteur ermöglichen könnte, auf E-Mails aus dem Postfach des Opfers zuzugreifen und sie zu stehlen.
Das Problem wurde der Zero Day Initiative im März gemeldet 2021 vom Forscher Le Xuan Tuyen vom VNPT ISC, und es wurde von Microsoft im Juli gepatcht 2021 Kumulative Updates austauschen.
Genauer, ProxyToken könnte es einem nicht authentifizierten Angreifer ermöglichen, Konfigurationsaktionen an Postfächern durchzuführen. In Bezug auf die Wirkung, der Fehler könnte missbraucht werden, um alle an ein Ziel adressierten E-Mails zu kopieren, und an ein von Angreifern kontrolliertes Konto weiterleiten.
Was verursacht das ProxyToken (CVE-2021-33766) Verwundbarkeit?
Der Fehler rührt von einer speziellen Funktion namens delegierte Authentifizierung her, die Authentifizierungsanfragen vom Front-End an das Back-End weiterleitet. Die Anfragen enthalten ein SecurityToken-Cookie zu Identifikationszwecken. Wenn das Front-End ein nicht leeres Cookie mit dem Titel SecurityToken entdeckt, es delegiert die Authentifizierung an das Back-End. Es ist bemerkenswert, dass Microsoft Exchange speziell konfiguriert werden muss, damit das Backend die Authentifizierung durchführt, wohingegen in einer Standardkonfiguration, das dafür zuständige DelegatedAuthModule-Modul ist nicht geladen.
"Zusammenfassend, wenn das Frontend das SecurityToken-Cookie sieht, es weiß, dass allein das Back-End für die Authentifizierung dieser Anfrage verantwortlich ist. Mittlerweile, Das Back-End ist sich nicht bewusst, dass es einige eingehende Anfragen basierend auf dem SecurityToken-Cookie authentifizieren muss, da das DelegatedAuthModule nicht in Installationen geladen wird, die nicht für die Verwendung der speziellen delegierten Authentifizierungsfunktion konfiguriert wurden. Das Nettoergebnis ist, dass Anfragen durchkommen können, ohne einer Authentifizierung am Front- oder Backend unterzogen zu werden," gemäß Bericht der Zero Day Initiative.
Der ProxyToken-Exploit erfordert, dass der Angreifer ein Konto auf demselben Exchange-Server wie das Opfer hat. Der Exploit installiert eine Weiterleitungsregel, die es dem Angreifer ermöglicht, alle eingehenden Nachrichten des Opfers zu lesen.
„Bei einigen Exchange-Installationen, ein Administrator hat möglicherweise einen globalen Konfigurationswert festgelegt, der Weiterleitungsregeln mit beliebigen Internetzielen zulässt, und in diesem Fall, der Angreifer benötigt überhaupt keine Exchange-Anmeldeinformationen. Weiter, da potenziell die gesamte /ecp-Site betroffen ist, verschiedene andere Möglichkeiten der Ausbeutung können ebenfalls verfügbar sein,”Der Bericht stellt fest.
Der ProxyToken-Exploit ist eine weitere Ergänzung zu einer Reihe von Microsoft Exchange-Exploits, Inklusive ProxyAnmeldung, ProxyShell, und ProxyOracle.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: