Casa > Cyber ​​Notizie > Token proxy (CVE-2021-33766) L'exploit consente agli aggressori di leggere la tua posta
CYBER NEWS

Token proxy (CVE-2021-33766) L'exploit consente agli aggressori di leggere la tua posta

proxytoken-exploit-sensorstechforum
Token proxy, o CVE-2021-33766 è una grave vulnerabilità di sicurezza in Microsoft Exchange che potrebbe consentire a un attore di minacce non autenticato di accedere e rubare le e-mail dalla casella di posta della vittima.

Il problema è stato segnalato alla Zero Day Initiative a marzo 2021 dal ricercatore Le Xuan Tuyen di VNPT ISC, ed è stato patchato da Microsoft a luglio 2021 Scambia aggiornamenti cumulativi.

Più specificamente, ProxyToken potrebbe consentire a un utente malintenzionato non autenticato di eseguire azioni di configurazione sulle cassette postali. In termini di impatto, il difetto potrebbe essere abusato per copiare tutte le email indirizzate a un target, e inoltrarli a un account controllato da un aggressore.




Cosa causa il ProxyToken (CVE-2021-33766) vulnerabilità?

Il difetto deriva da una funzionalità specifica chiamata Autenticazione delegata, che passa le richieste di autenticazione dal front-end al back-end. Le richieste contengono un cookie SecurityToken a scopo identificativo. Se il front-end rileva un cookie non vuoto denominato SecurityToken, delega l'autenticazione al back-end. È interessante notare che Microsoft Exchange deve essere configurato in modo specifico per consentire al back-end di eseguire l'autenticazione, mentre in una configurazione predefinita, il modulo DelegatedAuthModule responsabile di ciò non è caricato.

"In sintesi, quando il front-end vede il cookie SecurityToken, sa che solo il back-end è responsabile dell'autenticazione di questa richiesta. Nel frattempo, il back-end è completamente all'oscuro della necessità di autenticare alcune richieste in entrata in base al cookie SecurityToken, poiché DelegatedAuthModule non viene caricato in installazioni che non sono state configurate per utilizzare la funzione di autenticazione delegata speciale. Il risultato netto è che le richieste possono navigare attraverso, senza essere soggetti ad autenticazione né sul fronte né sul retro," secondo Rapporto di Zero Day Initiative.

L'exploit ProxyToken richiede che l'attaccante abbia un account sullo stesso server Exchange della vittima. L'exploit installa una regola di inoltro che consente all'aggressore di leggere tutti i messaggi in arrivo della vittima.

“Su alcune installazioni di Exchange, un amministratore potrebbe aver impostato un valore di configurazione globale che consente regole di inoltro con destinazioni Internet arbitrarie, e in quel caso, l'attaccante non ha bisogno di alcuna credenziale di Exchange. Inoltre, poiché l'intero sito /ecp è potenzialmente interessato, possono essere disponibili anche vari altri mezzi di sfruttamento,"Osserva il rapporto.

L'exploit ProxyToken è un'altra aggiunta a una serie di exploit di Microsoft Exchange, Compreso Accesso proxy, ProxyShell, e ProxyOracle.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politica sulla riservatezza.
Sono d'accordo