Новая уязвимость 'ProxyToken' в Microsoft Exchange позволяет атакующим изменять настройки почтовых ящиков

image-loader.svg

Стали известны подробности о теперь уже заделанной дыре в безопасности сервера Microsoft Exchange Server, которой могли воспользоваться атакующие для изменения настройки сервера, что вело к раскрытию персональных данных пользователей (PII).

Уязвимость, получившая код CVE-2021–33766 (балл CVSS: 7.3) и названная ProxyToken, была обнаружена Сюань Туеном, исследователем из Центра информационной безопасности Вьетнамской почтовой и телекоммуникационной группы (VNPT-ISC). О ней он сообщил через платформу Инициативы нулевого дня (ZDI) в марте 2021 года.

«Используя эту уязвимость, не аутентифицированный злоумышленник может воздействовать на конфигурацию почтовых ящиков, принадлежащих случайным пользователям», — пишет Саймон Цукербраун в своей статье на ZDI. — «Что касается возможных последствий, то эту возможность атакующий может использовать для копирования всех писем, адресованных цели с последующим перенаправлением их на свой аккаунт».

В Microsoft устранили эту брешь в рамках июльских обновлений Patch Tuesday.

Недостаток безопасности кроется в функционале под названием Delegated Authentication, относящемся к механизму, посредством которого сайт — клиент Outlook web access (OWA) — при обнаружении куки SecurityToken передает запросы аутентификации напрямую бэкенду.

image-loader.svg

Однако для того, чтобы использовать эту функциональность и поручать выполнение проверок бэкенду, Exchange должен быть настроен определенным образом. В результате этого возникает сценарий, в котором модуль, обрабатывающий делегирование (DelegatedAuthModule), не загружается с предустановленной конфигурацией, что приводит к обходу проверки, так как бэкенду не удается аутентифицировать входящие запросы на основе куки SecurityToken.

«В результате запросы беспрепятственно проходят, не подвергаясь аутентификации ни во фронтенде, ни в бэкенде», — объяснил Саймон Цукербраун.

Раскрытая уязвимость пополнила растущий список аналогичных дыр в Exchange Server, выявленных в этом году. Сюда относятся ProxyLogon, ProxyOracle и ProxyShell, которые активно эксплуатировались злоумышленниками с целью захвата не пропатченых серверов, развертывания вредоносных сетевых оболочек и шифрования файлов с помощью вирусов-вымогателей вроде LockFile.

К сожалению, как пишет в Твиттере Рич Уоррен, исследователь по безопасности из NCC Group, 10 августа им были зарегистрирован всплеск очередных попыток эксплойта с использованием ProxyToken, что является серьезным поводом для пользователей как можно скорее установить обновления безопасности от Microsoft.

image-loader.svg

© Habrahabr.ru