ProxyToken, ou CVE-2021-33766 é uma vulnerabilidade de segurança séria no Microsoft Exchange que pode permitir que um agente de ameaça não autenticado acesse e roube e-mails da caixa de correio da vítima.
O problema foi relatado à Zero Day Initiative em março 2021 pelo pesquisador Le Xuan Tuyen do VNPT ISC, e foi corrigido pela Microsoft em julho 2021 Atualizações cumulativas do Exchange.
Mais especificamente, ProxyToken pode permitir que um invasor não autenticado execute ações de configuração em caixas de correio. Em termos de impacto, a falha pode ser abusada para copiar todos os e-mails endereçados a um alvo, e encaminhá-los para uma conta controlada pelo invasor.
O que causa o ProxyToken (CVE-2021-33766) vulnerabilidade?
A falha origina-se de um recurso específico chamado Autenticação Delegada, que passa as solicitações de autenticação do front-end para o back-end. As solicitações contêm um cookie SecurityToken para fins de identificação. Se o front end descobrir um cookie não vazio denominado SecurityToken, ele delega autenticação para o back-end. Vale ressaltar que o Microsoft Exchange deve ser configurado especificamente para que o back-end execute a autenticação, enquanto em uma configuração padrão, o módulo DelegatedAuthModule responsável por que não está carregado.
"Resumindo, quando o front end vê o cookie SecurityToken, ele sabe que o back-end sozinho é responsável por autenticar esta solicitação. enquanto isso, o back-end ignora completamente que precisa autenticar algumas solicitações recebidas com base no cookie SecurityToken, uma vez que DelegatedAuthModule não é carregado em instalações que não foram configuradas para usar o recurso especial de autenticação delegada. O resultado líquido é que as solicitações podem navegar através, sem estar sujeito a autenticação no front-end ou no back-end," de acordo com Relatório da Zero Day Initiative.
A exploração ProxyToken exige que o invasor tenha uma conta no mesmo servidor Exchange da vítima. A exploração instala uma regra de encaminhamento que permite ao invasor ler todas as mensagens recebidas da vítima.
“Em algumas instalações do Exchange, um administrador pode ter definido um valor de configuração global que permite regras de encaminhamento com destinos arbitrários da Internet, e nesse caso, o invasor não precisa de nenhuma credencial do Exchange. além disso, uma vez que todo o site / ecp é potencialmente afetado, vários outros meios de exploração também podem estar disponíveis,”O relatório observa.
A exploração ProxyToken é outra adição a uma série de explorações do Microsoft Exchange, Incluindo ProxyLogon, ProxyShell, e ProxyOracle.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: