Microsoft Exchange ProxyToken漏洞可以讓黑客竊取用戶(hù)的電子郵件

ybak 發(fā)布于2021-09-02 09:47 / 2331人閱讀

摘要：微軟存在一個(gè)名為的嚴(yán)重漏洞，該漏洞不需要身份驗(yàn)證就可以從目標(biāo)賬戶(hù)訪問(wèn)電子郵件。因此，針對(duì)目標(biāo)用戶(hù)的電子郵件消息很可能發(fā)送到攻擊者控制的帳戶(hù)。根據(jù)該公司公開(kāi)消息，自月以來(lái)，微軟已經(jīng)提供了一個(gè)補(bǔ)丁。

.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body%20h1,.markdown-body%20h2,.markdown-body%20h3,.markdown-body%20h4,.markdown-body%20h5,.markdown-body%20h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body%20h1{font-size:30px;margin-bottom:5px}.markdown-body%20h2{padding-bottom:12px;font-size:24px;border-bottom:1px%20solid%20#ececec}.markdown-body%20h3{font-size:18px;padding-bottom:0}.markdown-body%20h4{font-size:16px}.markdown-body%20h5{font-size:15px}.markdown-body%20h6{margin-top:5px}.markdown-body%20p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body%20img{max-width:100%}.markdown-body%20hr{border:none;border-top:1px%20solid%20#ffffd;margin-top:32px;margin-bottom:32px}.markdown-body%20code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em%20.4em}.markdown-body%20code,.markdown-body%20pre{font-family:Menlo,Monaco,Consolas,Courier%20New,monospace}.markdown-body%20pre{overflow:auto;position:relative;line-height:1.75}.markdown-body%20pre>code{font-size:12px;padding:15px%2012px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body%20a{text-decoration:none;color:#0269c8;border-bottom:1px%20solid%20#d1e9ff}.markdown-body%20a:active,.markdown-body%20a:hover{color:#275b8c}.markdown-body%20table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px%20solid%20#f6f6f6}.markdown-body%20thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body%20tr:nth-child(2n){background-color:#fcfcfc}.markdown-body%20td,.markdown-body%20th{padding:12px%207px;line-height:24px}.markdown-body%20td{min-width:120px}.markdown-body%20blockquote{color:#666;padding:1px%2023px;margin:22px%200;border-left:4px%20solid%20#cbcbcb;background-color:#f8f8f8}.markdown-body%20blockquote:after{display:block;content:""}.markdown-body%20blockquote>p{margin:10px%200}.markdown-body%20ol,.markdown-body%20ul{padding-left:28px}.markdown-body%20ol%20li,.markdown-body%20ul%20li{margin-bottom:0;list-style:inherit}.markdown-body%20ol%20li%20.task-list-item,.markdown-body%20ul%20li%20.task-list-item{list-style:none}.markdown-body%20ol%20li%20.task-list-item%20ol,.markdown-body%20ol%20li%20.task-list-item%20ul,.markdown-body%20ul%20li%20.task-list-item%20ol,.markdown-body%20ul%20li%20.task-list-item%20ul{margin-top:0}.markdown-body%20ol%20ol,.markdown-body%20ol%20ul,.markdown-body%20ul%20ol,.markdown-body%20ul%20ul{margin-top:3px}.markdown-body%20ol%20li{padding-left:6px}.markdown-body%20.contains-task-list{padding-left:0}.markdown-body%20.task-list-item{list-style:none}@media%20(max-width:720px){.markdown-body%20h1{font-size:24px}.markdown-body%20h2{font-size:20px}.markdown-body%20h3{font-size:18px}}

微軟Exchange%20Server存在一個(gè)名為ProxyToken的嚴(yán)重漏洞，該漏洞不需要身份驗(yàn)證就可以從目標(biāo)賬戶(hù)訪問(wèn)電子郵件。

攻擊者可以利用該漏洞，在Exchange%20Control%20Panel%20(ECP)應(yīng)用程序中生成對(duì)web服務(wù)的請(qǐng)求，并從受害者的收件箱中竊取消息。

委托混淆

被追蹤為CVE-2021-33766，ProxyToken允許未經(jīng)身份驗(yàn)證的攻擊者訪問(wèn)用戶(hù)郵箱的配置選項(xiàng)，他們可以在其中定義電子郵件轉(zhuǎn)發(fā)規(guī)則。

因此，針對(duì)目標(biāo)用戶(hù)的電子郵件消息很可能發(fā)送到攻擊者控制的帳戶(hù)。

該漏洞由越南郵電集團(tuán)%20(%20VNPT-ISC%20)信息安全中心研究員Le%20Xuan%20Tuyen發(fā)現(xiàn)，并于3%20月通過(guò)零日計(jì)劃(ZDI)%20計(jì)劃報(bào)告。

他發(fā)現(xiàn)Microsoft%20Exchange的前端站點(diǎn)(Outlook%20Web%20Access、Exchange控制面板)在很大程度上充當(dāng)后端站點(diǎn)(Exchange%20Back%20End)的代理，向后者傳遞身份驗(yàn)證請(qǐng)求。

在Microsoft%20Exchange部署中，當(dāng)“委派身份驗(yàn)證”功能處于活動(dòng)狀態(tài)時(shí)，前端將需要身份驗(yàn)證的請(qǐng)求轉(zhuǎn)發(fā)給后端，后端通過(guò)“SecurityToken”cookie識(shí)別它們。

當(dāng)“/ecp”中的請(qǐng)求中存在非空的“SecurityToken”cookie 時(shí)，前端會(huì)將身份驗(yàn)證決定委托給后端。

但是，Microsoft Exchange的默認(rèn)配置不會(huì)為后端ECP站點(diǎn)加載負(fù)責(zé)委派驗(yàn)證過(guò)程的模塊 (DelegatedAuthModule)。

“總而言之，當(dāng)前端看到SecurityToken cookie時(shí)，它知道只有后端負(fù)責(zé)對(duì)這個(gè)請(qǐng)求進(jìn)行身份驗(yàn)證。同時(shí)，后端完全不知道它需要根據(jù)SecurityToken cookie對(duì)某些傳入請(qǐng)求進(jìn)行身份驗(yàn)證，因?yàn)闆](méi)有配置使用特殊的委托身份驗(yàn)證特性的安裝中，DelegatedAuthModule不會(huì)加載。

利用ProxyToken漏洞并不完全沒(méi)有其他問(wèn)題，盡管是一個(gè)小問(wèn)題:對(duì)/ecp頁(yè)面的請(qǐng)求需要一個(gè)稱(chēng)為“ecp canary”的票據(jù)，可以在觸發(fā)HTTP 500錯(cuò)誤時(shí)獲得該票據(jù)。

結(jié)果是，沒(méi)有票據(jù)的請(qǐng)求會(huì)觸發(fā)HTTP 500錯(cuò)誤，該錯(cuò)誤包含成功發(fā)出未經(jīng)身份驗(yàn)證的請(qǐng)求所需的有效字符串。

根據(jù)該公司公開(kāi)消息，自7月以來(lái)，微軟已經(jīng)提供了一個(gè)補(bǔ)丁。Rapid7的Tom%20Sellers指出，版本號(hào)和日期表明補(bǔ)丁早在4月份就已發(fā)布。

該漏洞并不算太嚴(yán)重。NIST計(jì)算出其嚴(yán)重性評(píng)分為7.5(滿(mǎn)分%2010%20分)。這是因?yàn)楣粽咝枰谂c受害者相同的Exchange服務(wù)器上擁有一個(gè)帳戶(hù)。

例如，來(lái)自攻擊者的請(qǐng)求如下所示：

在今天的一篇博客文章中，Zero-Day計(jì)劃指出，一些 Exchange服務(wù)器管理員設(shè)置了一個(gè)全局配置值，允許創(chuàng)建電子郵件轉(zhuǎn)發(fā)規(guī)則到任意目的地。在這種情況下，攻擊者不需要憑據(jù)。

漏洞利用嘗試顯現(xiàn)

盡管ProxyToken的技術(shù)細(xì)節(jié)才發(fā)布，但早在三周前就已經(jīng)有利用漏洞嘗試記錄。

據(jù)NCC集團(tuán)的紅隊(duì)隊(duì)員Rich Warren稱(chēng)，他在8月10日看到了大量的嘗試攻擊。

與ProxyShell 漏洞的情況一樣，如果Microsoft Exchange服務(wù)器的管理員尚未安裝 ProxyToken補(bǔ)丁，則他們應(yīng)優(yōu)先處理該任務(wù)。

盡管網(wǎng)絡(luò)技術(shù)趨于成熟，但漏洞補(bǔ)丁總會(huì)晚于漏洞出現(xiàn)，這期間空缺時(shí)間給黑客以利用漏洞的機(jī)會(huì)。網(wǎng)絡(luò)需要安全穩(wěn)健發(fā)展，而在不斷優(yōu)化升級(jí)技術(shù)手段的同時(shí)更應(yīng)注重底層代碼安全建設(shè)。網(wǎng)絡(luò)攻擊事件頻繁發(fā)生，而90%以上的網(wǎng)絡(luò)安全問(wèn)題是由軟件自身的安全漏洞被利用導(dǎo)致。因此有必要通過(guò)安全可信的靜態(tài)代碼檢測(cè)工具對(duì)軟件代碼進(jìn)行檢測(cè)，以查找缺陷及安全漏洞提高軟件安全性，從而為確保數(shù)據(jù)安全增加牢固的安全防線(xiàn)。

參讀鏈接：

www.bleepingcomputer.com/news/securi…