研究人員揭露Exchange Server新的ProxyToken漏洞,可導致電子郵件被竊取

ProxyLogonProxyShell等重大漏洞後,研究人員再揭露外號ProxyToken的Exchange Server漏洞,可能導致企業電子郵件被人竊走。微軟已於7月修補了這項漏洞。

ProxyToken正式編號CVE-2021-33766,是由越南VNPT ISC研究人員Le Yuan Tuyen偕同趨勢科技Zero Day Initiative研究發現,並於3月通報微軟。

CVE-2021-33766是Exchange Server中的資訊洩露漏洞。利用此一漏洞,未經授權的攻擊者可在屬於任意使用者的信箱執行組態行為,進而將目標受害者帳號的所有郵件複製過來,再轉寄到攻擊者控制的信箱。

研究人員解釋,攻擊結合兩項因素。首先是Exchange Server的郵件組態問題。Exchange Server運作分成二部份,一是作為介面的Outlook Web Access或Exchange Control Panel(ecp)前端網站,二是Exchange後端網站。在「委任驗證(delegated authentication)功能」中,前端網站會將需要驗證的/ecp呼叫傳到後端,後端要看到呼叫中有SecurityToken cookie才會動作,進行驗證。然而Exchange Server的預設組態中,並未將負責驗證的模組DelegatedAuthModule載入到後端ECP網站,以致於前端網站在/ecp頁面呼叫中看到SecurityToken cookie不驗證,但後端ECP網站也未啟動驗證。結果是未經驗證的攻擊者呼叫輕易而進入Exchange後端。

開採ProxyToken漏洞的第二項因素,是要在/ecp頁面啟動呼叫。呼叫需要有名為ECP Canary的令符。沒有Canary就觸發HTTP 500錯誤訊息,但有趣的是,HTTP 500觸發後反而帶來有效的Canary,使攻擊者得以啟動呼叫。

成功呼叫讓攻擊者得以修改Exchange Server組態,設定轉寄規則,進而將郵件轉寄到自己的信箱中。

本漏洞屬於風險值7.3的高風險漏洞,發現時間約在ProxyLogon揭露後。研究人員通報微軟後,微軟已於7月Patch Tuesday予以修補。

原文來自 iThome Online