Стали известны подробности о теперь уже заделанной дыре в безопасности сервера Microsoft Exchange Server, которой могли воспользоваться атакующие для изменения настройки сервера, что вело к раскрытию персональных данных пользователей (PII).
Уязвимость, получившая код CVE-2021-33766 (балл CVSS: 7.3) и названная
ProxyToken, была обнаружена Сюань Туеном, исследователем из Центра информационной безопасности Вьетнамской почтовой и телекоммуникационной группы (VNPT-ISC). О ней он сообщил через платформу Инициативы нулевого дня (ZDI) в марте 2021 года.«Используя эту уязвимость, не аутентифицированный злоумышленник может воздействовать на конфигурацию почтовых ящиков, принадлежащих случайным пользователям», — пишет Саймон Цукербраун в своей статье на ZDI. – «Что касается возможных последствий, то эту возможность атакующий может использовать для копирования всех писем, адресованных цели с последующим перенаправлением их на свой аккаунт».В Microsoft устранили эту брешь в рамках июльских обновлений Patch Tuesday.
Недостаток безопасности кроется в функционале под названием Delegated Authentication, относящемся к механизму, посредством которого сайт – клиент Outlook web access (OWA) – при обнаружении куки SecurityToken передает запросы аутентификации напрямую бэкенду.
Однако для того, чтобы использовать эту функциональность и поручать выполнение проверок бэкенду, Exchange должен быть настроен определенным образом. В результате этого возникает сценарий, в котором модуль, обрабатывающий делегирование (
DelegatedAuthModule), не загружается с предустановленной конфигурацией, что приводит к обходу проверки, так как бэкенду не удается аутентифицировать входящие запросы на основе куки SecurityToken. «В результате запросы беспрепятственно проходят, не подвергаясь аутентификации ни во фронтенде, ни в бэкенде», — объяснил Саймон Цукербраун.Раскрытая уязвимость пополнила растущий список аналогичных дыр в Exchange Server, выявленных в этом году. Сюда относятся
ProxyLogon, ProxyOracle и ProxyShell, которые активно эксплуатировались злоумышленниками с целью захвата не пропатченых серверов, развертывания вредоносных сетевых оболочек и шифрования файлов с помощью вирусов-вымогателей вроде LockFile.К сожалению, как пишет в Твиттере Рич Уоррен, исследователь по безопасности из NCC Group, 10 августа им были зарегистрирован всплеск очередных попыток эксплойта с использованием
ProxyToken, что является серьезным поводом для пользователей как можно скорее установить обновления безопасности от Microsoft.
