ProxyToken, またはCVE-2021-33766は、Microsoft Exchangeの重大なセキュリティ脆弱性であり、認証されていない脅威アクターが被害者のメールボックスから電子メールにアクセスして盗む可能性があります。.
この問題は、3月にゼロデイイニシアチブに報告されました 2021 VNPTISCの研究者LeXuanTuyenによる, そしてそれは7月にマイクロソフトによってパッチを当てられました 2021 累積的な更新を交換する.
すなわち, ProxyTokenにより、認証されていない攻撃者がメールボックスに対して構成アクションを実行できる可能性があります. 影響の観点から, 欠陥は、ターゲットに宛てられたすべての電子メールをコピーするために悪用される可能性があります, 攻撃者が管理するアカウントに転送します.
ProxyTokenの原因 (CVE-2021-33766) 脆弱性?
この欠陥は、委任された認証と呼ばれる特定の機能に起因します, フロントエンドからバックエンドに認証要求を渡します. リクエストには、識別のためのSecurityTokenCookieが含まれています. フロントエンドがSecurityTokenというタイトルの空でないCookieを検出した場合, 認証をバックエンドに委任します. バックエンドが認証を実行するようにMicrosoftExchangeを特別に構成する必要があることに注意してください, 一方、デフォルト構成では, それを担当するDelegatedAuthModuleモジュールがロードされていません.
"要約すれば, フロントエンドがSecurityTokenCookieを確認したとき, バックエンドだけがこのリクエストの認証に責任があることを知っています. その間, バックエンドは、SecurityTokenCookieに基づいて一部の着信要求を認証する必要があることを完全に認識していません。, DelegatedAuthModuleは、特別な委任認証機能を使用するように構成されていないインストールではロードされないためです。. 最終的な結果として、リクエストは通過できます, フロントエンドまたはバックエンドのいずれかで認証を受けずに," によると ゼロデイイニシアチブのレポート.
ProxyTokenエクスプロイトでは、攻撃者は被害者と同じExchangeサーバーにアカウントを持っている必要があります. このエクスプロイトは、攻撃者が被害者のすべての着信メッセージを読み取ることを可能にする転送ルールをインストールします.
「一部のExchangeインストールでは, 管理者は、任意のインターネット宛先を持つ転送ルールを許可するグローバル構成値を設定している可能性があります, その場合, 攻撃者はExchangeの資格情報をまったく必要としません. さらに, /ecpサイト全体が影響を受ける可能性があるため, 他のさまざまな搾取手段も利用できる可能性があります,」レポートノート.
ProxyTokenエクスプロイトは、一連のMicrosoftExchangeエクスプロイトへのもう1つの追加です。, 含む ProxyLogon, ProxyShell, およびProxyOracle.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: