Accueil > Nouvelles Cyber > ProxyToken (CVE-2021-33766) Exploit permet aux attaquants de lire votre courrier
CYBER NOUVELLES

ProxyToken (CVE-2021-33766) Exploit permet aux attaquants de lire votre courrier

proxytoken-exploit-sensorstechforum
ProxyToken, ou CVE-2021-33766 est une faille de sécurité grave dans Microsoft Exchange qui pourrait permettre à un acteur malveillant non authentifié d'accéder aux e-mails de la boîte aux lettres de la victime et de les voler.

Le problème a été signalé à Zero Day Initiative en mars 2021 par le chercheur Le Xuan Tuyen du VNPT ISC, et il a été corrigé par Microsoft en juillet 2021 Exchange mises à jour cumulatives.

Plus précisement, ProxyToken pourrait permettre à un attaquant non authentifié d'effectuer des actions de configuration sur les boîtes aux lettres. En termes d'impact, la faille pouvait être abusée pour copier tous les emails adressés à une cible, et les transférer vers un compte contrôlé par un attaquant.




Quelles sont les causes du ProxyToken (CVE-2021-33766) vulnérabilité?

La faille provient d'une fonctionnalité spécifique appelée Authentification déléguée, qui transmet les demandes d'authentification du front-end au back-end. Les demandes contiennent un cookie SecurityToken à des fins d'identification. Si le frontal découvre un cookie non vide intitulé SecurityToken, il délègue l'authentification au back-end. Il est à noter que Microsoft Exchange doit être spécifiquement configuré pour que le back-end effectue l'authentification, alors que dans une configuration par défaut, le module DelegatedAuthModule responsable de cela n'est pas chargé.

"En résumé, lorsque le frontal voit le cookie SecurityToken, il sait que le back end est seul responsable de l'authentification de cette requête. En attendant, le back-end ne sait absolument pas qu'il doit authentifier certaines demandes entrantes sur la base du cookie SecurityToken, puisque le DelegatedAuthModule n'est pas chargé dans les installations qui n'ont pas été configurées pour utiliser la fonction d'authentification déléguée spéciale. Le résultat net est que les demandes peuvent traverser, sans être soumis à une authentification ni sur le front ni sur le back end," selon Rapport de Zero Day Initiative.

L'exploit ProxyToken nécessite que l'attaquant ait un compte sur le même serveur Exchange que la victime. L'exploit installe une règle de transfert permettant à l'attaquant de lire tous les messages entrants de la victime.

« Sur certaines installations Exchange, un administrateur peut avoir défini une valeur de configuration globale qui autorise les règles de transfert ayant des destinations Internet arbitraires, et dans ce cas, l'attaquant n'a pas du tout besoin d'informations d'identification Exchange. En outre, puisque l'ensemble du site /ecp est potentiellement affecté, divers autres moyens d'exploitation peuvent également être disponibles,"Note le rapport.

L'exploit ProxyToken est un autre ajout à une série d'exploits Microsoft Exchange, Y compris Connexion proxy, ProxyShell, et ProxyOracle.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord