有关影响 Microsoft Exchange Server 的现已修补的安全漏洞的详细信息已经出现,未经身份验证的攻击者可以利用该漏洞修改服务器配置,从而导致个人身份信息 (PII) 的泄露。
该漏洞被追踪为CVE-2021-33766(CVSS 评分:7.3)并命名为“ ProxyToken ”,由越南邮电集团信息安全中心 (VNPT-ISC) 的研究员 Le Xuan Tuyen 发现,并报告通过 2021 年 3 月的零日计划 (ZDI) 计划。
“利用这个漏洞,未经身份验证的攻击者可以对属于任意用户的邮箱执行配置操作,”ZDI周一表示。“作为影响的例证,这可用于复制发送到目标和帐户的所有电子邮件,并将它们转发到由攻击者控制的帐户。”
微软在2021 年 7 月的星期二补丁更新中解决了这个问题。
安全缺陷在于一项称为委托身份验证的功能,该功能指的是一种机制,即前端网站——Outlook Web 访问 (OWA) 客户端——在检测到存在 SecurityToken cookie 时将身 份验证请求直接传递给后端.
但是,由于必须专门配置 Exchange 以使用该功能并让后端执行检查,因此会导致在默认配置下未加载处理此委托的模块(“DelegatedAuthModule”)的情况,最终在绕过中,因为后端无法根据 SecurityToken cookie 对传入请求进行身份验证。
“最终结果是请求可以顺利通过,而无需在前端或后端进行身份验证,”ZDI 的 Simon Zuckerbraun 解释说。
这一披露增加了今年曝光的越来越多的 Exchange Server 漏洞,包括ProxyLogon、ProxyOracle和ProxyShell,这些漏洞已被威胁行为者积极利用来接管未修补的服务器、部署恶意 web shell 和文件加密勒索软件例如LockFile。
Troublingly,在最狂野利用企图滥用ProxyToken已经被记录,早在8月10日,根据到NCC Group的安全研究员富沃伦,使其成为当务之急是客户迅速行动,从微软应用安全更新。
极牛网精选文章《微软Exchange新漏洞ProxyToken可以让攻击者重新配置邮箱》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16082.html