Microsoft Exchange ProxyToken漏洞可以讓黑客竊取用戶的電子郵件

ybak 發(fā)布于2021-09-02 09:47 / 2347人閱讀

摘要：微軟存在一個名為的嚴(yán)重漏洞，該漏洞不需要身份驗(yàn)證就可以從目標(biāo)賬戶訪問電子郵件。因此，針對目標(biāo)用戶的電子郵件消息很可能發(fā)送到攻擊者控制的帳戶。根據(jù)該公司公開消息，自月以來，微軟已經(jīng)提供了一個補(bǔ)丁。

.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}

微軟Exchange%20Server存在一個名為ProxyToken的嚴(yán)重漏洞，該漏洞不需要身份驗(yàn)證就可以從目標(biāo)賬戶訪問電子郵件。

攻擊者可以利用該漏洞，在Exchange%20Control%20Panel%20(ECP)應(yīng)用程序中生成對web服務(wù)的請求，并從受害者的收件箱中竊取消息。

委托混淆

被追蹤為CVE-2021-33766，ProxyToken允許未經(jīng)身份驗(yàn)證的攻擊者訪問用戶郵箱的配置選項(xiàng)，他們可以在其中定義電子郵件轉(zhuǎn)發(fā)規(guī)則。

因此，針對目標(biāo)用戶的電子郵件消息很可能發(fā)送到攻擊者控制的帳戶。

該漏洞由越南郵電集團(tuán)%20(%20VNPT-ISC%20)信息安全中心研究員Le%20Xuan%20Tuyen發(fā)現(xiàn)，并于3%20月通過零日計劃(ZDI)%20計劃報告。

他發(fā)現(xiàn)Microsoft%20Exchange的前端站點(diǎn)(Outlook%20Web%20Access、Exchange控制面板)在很大程度上充當(dāng)后端站點(diǎn)(Exchange%20Back%20End)的代理，向后者傳遞身份驗(yàn)證請求。

在Microsoft%20Exchange部署中，當(dāng)“委派身份驗(yàn)證”功能處于活動狀態(tài)時，前端將需要身份驗(yàn)證的請求轉(zhuǎn)發(fā)給后端，后端通過“SecurityToken”cookie識別它們。

當(dāng)“/ecp”中的請求中存在非空的“SecurityToken”cookie 時，前端會將身份驗(yàn)證決定委托給后端。

但是，Microsoft Exchange的默認(rèn)配置不會為后端ECP站點(diǎn)加載負(fù)責(zé)委派驗(yàn)證過程的模塊 (DelegatedAuthModule)。

“總而言之，當(dāng)前端看到SecurityToken cookie時，它知道只有后端負(fù)責(zé)對這個請求進(jìn)行身份驗(yàn)證。同時，后端完全不知道它需要根據(jù)SecurityToken cookie對某些傳入請求進(jìn)行身份驗(yàn)證，因?yàn)闆]有配置使用特殊的委托身份驗(yàn)證特性的安裝中，DelegatedAuthModule不會加載。

利用ProxyToken漏洞并不完全沒有其他問題，盡管是一個小問題:對/ecp頁面的請求需要一個稱為“ecp canary”的票據(jù)，可以在觸發(fā)HTTP 500錯誤時獲得該票據(jù)。

結(jié)果是，沒有票據(jù)的請求會觸發(fā)HTTP 500錯誤，該錯誤包含成功發(fā)出未經(jīng)身份驗(yàn)證的請求所需的有效字符串。

根據(jù)該公司公開消息，自7月以來，微軟已經(jīng)提供了一個補(bǔ)丁。Rapid7的Tom%20Sellers指出，版本號和日期表明補(bǔ)丁早在4月份就已發(fā)布。

該漏洞并不算太嚴(yán)重。NIST計算出其嚴(yán)重性評分為7.5(滿分%2010%20分)。這是因?yàn)楣粽咝枰谂c受害者相同的Exchange服務(wù)器上擁有一個帳戶。

例如，來自攻擊者的請求如下所示：

在今天的一篇博客文章中，Zero-Day計劃指出，一些 Exchange服務(wù)器管理員設(shè)置了一個全局配置值，允許創(chuàng)建電子郵件轉(zhuǎn)發(fā)規(guī)則到任意目的地。在這種情況下，攻擊者不需要憑據(jù)。

漏洞利用嘗試顯現(xiàn)

盡管ProxyToken的技術(shù)細(xì)節(jié)才發(fā)布，但早在三周前就已經(jīng)有利用漏洞嘗試記錄。

據(jù)NCC集團(tuán)的紅隊(duì)隊(duì)員Rich Warren稱，他在8月10日看到了大量的嘗試攻擊。

與ProxyShell 漏洞的情況一樣，如果Microsoft Exchange服務(wù)器的管理員尚未安裝 ProxyToken補(bǔ)丁，則他們應(yīng)優(yōu)先處理該任務(wù)。

盡管網(wǎng)絡(luò)技術(shù)趨于成熟，但漏洞補(bǔ)丁總會晚于漏洞出現(xiàn)，這期間空缺時間給黑客以利用漏洞的機(jī)會。網(wǎng)絡(luò)需要安全穩(wěn)健發(fā)展，而在不斷優(yōu)化升級技術(shù)手段的同時更應(yīng)注重底層代碼安全建設(shè)。網(wǎng)絡(luò)攻擊事件頻繁發(fā)生，而90%以上的網(wǎng)絡(luò)安全問題是由軟件自身的安全漏洞被利用導(dǎo)致。因此有必要通過安全可信的靜態(tài)代碼檢測工具對軟件代碼進(jìn)行檢測，以查找缺陷及安全漏洞提高軟件安全性，從而為確保數(shù)據(jù)安全增加牢固的安全防線。

參讀鏈接：

www.bleepingcomputer.com/news/securi…