Huis > Cyber ​​Nieuws > ProxyToken (CVE-2021-33766) Exploit stelt aanvallers in staat uw e-mail te lezen
CYBER NEWS

ProxyToken (CVE-2021-33766) Exploit stelt aanvallers in staat uw e-mail te lezen

proxytoken-exploit-sensorstechforum
ProxyToken, of CVE-2021-33766 is een ernstig beveiligingslek in Microsoft Exchange waardoor een niet-geverifieerde dreigingsactor toegang kan krijgen tot e-mails uit de mailbox van het slachtoffer en deze kan stelen.

Het probleem werd in maart gemeld aan het Zero Day Initiative 2021 door onderzoeker Le Xuan Tuyen van VNPT ISC, en het werd gepatcht door Microsoft in juli 2021 Wissel cumulatieve updates uit.

Specifieker, ProxyToken kan een niet-geverifieerde aanvaller in staat stellen configuratieacties uit te voeren op mailboxen. In termen van impact, de fout kan worden misbruikt om alle e-mails die aan een doelwit zijn geadresseerd te kopiëren, en stuur ze door naar een door een aanvaller beheerd account.




Wat veroorzaakt de ProxyToken (CVE-2021-33766) kwetsbaarheid?

De fout komt voort uit een specifieke functie genaamd gedelegeerde authenticatie, die authenticatieverzoeken doorgeeft van de front-end naar de back-end. De verzoeken bevatten een SecurityToken-cookie voor identificatiedoeleinden. Als de frontend een niet-lege cookie met de naam SecurityToken ontdekt, het delegeert authenticatie naar de back-end. Het is opmerkelijk dat Microsoft Exchange specifiek moet worden geconfigureerd om de back-end de authenticatie te laten uitvoeren, terwijl in een standaardconfiguratie, de DelegatedAuthModule-module die daarvoor verantwoordelijk is, is niet geladen.

"Samengevat, wanneer de front-end de SecurityToken-cookie ziet, het weet dat alleen de back-end verantwoordelijk is voor het verifiëren van dit verzoek. Ondertussen, de back-end is zich er helemaal niet van bewust dat het sommige inkomende verzoeken moet verifiëren op basis van de SecurityToken-cookie, aangezien de DelegatedAuthModule niet wordt geladen in installaties die niet zijn geconfigureerd om de speciale functie voor gedelegeerde authenticatie te gebruiken. Het netto resultaat is dat aanvragen door kunnen varen, zonder te worden onderworpen aan authenticatie aan de voor- of achterkant," volgens Zero Day Initiative's rapport.

De ProxyToken-exploit vereist dat de aanvaller een account heeft op dezelfde Exchange-server als het slachtoffer. De exploit installeert een doorstuurregel waarmee de aanvaller alle inkomende berichten van het slachtoffer kan lezen.

“Op sommige Exchange-installaties, een beheerder heeft mogelijk een globale configuratiewaarde ingesteld die doorstuurregels met willekeurige internetbestemmingen toestaat, en in dat geval, de aanvaller heeft helemaal geen Exchange-referenties nodig. Bovendien, omdat de hele /ecp-site mogelijk wordt beïnvloed, er kunnen ook verschillende andere manieren van uitbuiting beschikbaar zijn,”Merkt het rapport op.

De ProxyToken-exploit is een andere toevoeging aan een reeks Microsoft Exchange-exploits, Inclusief ProxyLogon, ProxyShell, en ProxyOracle.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens