ProxyToken, o CVE-2021-33766 es una vulnerabilidad de seguridad grave en Microsoft Exchange que podría permitir que un actor de amenazas no autenticado acceda y robe correos electrónicos del buzón de correo de la víctima..
El problema se informó a Zero Day Initiative en marzo 2021 por el investigador Le Xuan Tuyen de VNPT ISC, y fue parcheado por Microsoft en julio 2021 Actualizaciones acumulativas de Exchange.
Más específicamente, ProxyToken podría permitir que un atacante no autenticado realice acciones de configuración en los buzones de correo. En términos de impacto, se podría abusar de la falla para copiar todos los correos electrónicos dirigidos a un objetivo, y reenviarlos a una cuenta controlada por un atacante.
¿Qué causa el ProxyToken? (CVE-2021-33766) vulnerabilidad?
La falla se debe a una característica específica llamada Autenticación delegada, que pasa las solicitudes de autenticación del front-end al back-end. Las solicitudes contienen una cookie SecurityToken con fines de identificación.. Si la interfaz descubre una cookie no vacía titulada SecurityToken, delega la autenticación al back-end. Cabe destacar que Microsoft Exchange debe configurarse específicamente para que el back-end realice la autenticación., mientras que en una configuración predeterminada, el módulo DelegatedAuthModule responsable de eso no está cargado.
"En resumen, cuando la interfaz ve la cookie SecurityToken, sabe que solo el back-end es responsable de autenticar esta solicitud. Mientras tanto, el back-end desconoce por completo que necesita autenticar algunas solicitudes entrantes basadas en la cookie SecurityToken, dado que DelegatedAuthModule no se carga en instalaciones que no se han configurado para usar la función especial de autenticación delegada. El resultado neto es que las solicitudes pueden atravesar, sin estar sujeto a autenticación en la parte delantera o trasera," de acuerdo a Informe de Zero Day Initiative.
El exploit ProxyToken requiere que el atacante tenga una cuenta en el mismo servidor Exchange que la víctima.. El exploit instala una regla de reenvío que permite al atacante leer todos los mensajes entrantes de la víctima..
"En algunas instalaciones de Exchange, un administrador puede haber establecido un valor de configuración global que permite el reenvío de reglas con destinos de Internet arbitrarios, y en ese caso, el atacante no necesita ninguna credencial de Exchange en absoluto. Además, ya que todo el sitio / ecp está potencialmente afectado, varios otros medios de explotación también pueden estar disponibles,"El informe señala.
El exploit ProxyToken es otra adición a una serie de exploits de Microsoft Exchange, Incluido ProxyLogon, ProxyShell, y ProxyOracle.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: