Ошибка Microsoft Exchange ProxyToken может позволить хакерам украсть электронную почту пользователя

24
Microsoft PC Health Check добавляет подробную информацию о совместимости с Windows 11

Появились технические подробности о серьезной уязвимости в Microsoft Exchange Server, получившей название ProxyToken, которая не требует аутентификации для доступа к электронной почте из целевой учетной записи.

Злоумышленник может воспользоваться уязвимостью, создав запрос к веб-службам в приложении панели управления Exchange (ECP) и похитив сообщения из почтового ящика жертвы.

Путаница при делегировании

ProxyToken, отслеживаемый как CVE-2021-33766, дает неаутентифицированным злоумышленникам доступ к параметрам конфигурации почтовых ящиков пользователей, где они могут определить правило пересылки электронной почты.

В результате сообщения электронной почты, предназначенные для целевого пользователя, также могут быть доставлены в учетную запись, контролируемую злоумышленником.

Ошибка была обнаружена Ле Суаном Туеном, исследователем из Центра информационной безопасности Вьетнамской почтовой и телекоммуникационной группы ( VNPT-ISC ), и о ней было сообщено в рамках программы Zero-Day Initiative (ZDI) в марте.

Он обнаружил, что внешний сайт Microsoft Exchange (Outlook Web Access, панель управления Exchange) в основном функционирует как прокси для внутреннего сайта (Exchange Back End), которому он передает запросы проверки подлинности.

В развертываниях Microsoft Exchange, где активна функция «Делегированная проверка подлинности», интерфейс пересылает запросы, требующие проверки подлинности, на серверную часть, которая идентифицирует их по наличию файла cookie SecurityToken.

Если в запросе внутри «/ ecp» есть непустой файл cookie «SecurityToken», внешний интерфейс делегирует решение об аутентификации серверной части.

Однако конфигурация Microsoft Exchange по умолчанию не загружает для внутреннего сайта ECP модуль, ответственный за делегирование процесса проверки (DelegatedAuthModule).

«Таким образом, когда интерфейсная часть видит файл cookie SecurityToken, она знает, что только серверная часть отвечает за аутентификацию этого запроса. Между тем, серверная часть совершенно не знает, что ей необходимо аутентифицировать некоторые входящие запросы на основе cookie SecurityToken, поскольку DelegatedAuthModule не загружается в установках, которые не были настроены для использования специальной функции делегированной аутентификации »- Zero-Day Initiative

Использование уязвимости ProxyToken не обходится без другой проблемы, хотя и незначительной: для запросов страницы / ecp требуется билет, известный как «канарейка ECP», который можно получить при запуске ошибки HTTP 500.

Оказывается, запросы без билета вызывают ошибку HTTP 500, содержащую допустимую строку, необходимую для успешной выдачи неаутентифицированного запроса.

Патч доступен от Microsoft с июля, согласно публичному сообщению компании . Rapid7 в Tom Продавцы отмечает , что номера версий и даты указывают , что пластыри были выпущены еще в апреле, однако.

Уязвимость не критична. NIST подсчитал, что его серьезность составляет 7,5 из 10. Это связано с тем, что злоумышленнику требуется учетная запись на том же сервере Exchange, что и жертва.

В сегодняшнем сообщении блога Zero-Day Initiative отмечается, что некоторые администраторы сервера Exchange устанавливают значение глобальной конфигурации, позволяющее создать правило пересылки электронной почты в произвольное место назначения. В таких случаях злоумышленнику не нужны учетные данные.

Попытки использовать

Хотя технические подробности для ProxyToken были опубликованы только сегодня, попытки использования уязвимостей были зафиксированы еще три недели назад.

По словам Рича Уоррена, красного специалиста NCC Group, 10 августа он стал свидетелем большего количества попыток эксплуатации.

Как и в случае с уязвимостями ProxyShell , если администраторы серверов Microsoft Exchange не установили патчи для ProxyToken, они должны определить приоритет задачи.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here