摘要:
利用尝试早在3周前就出现,速打补丁!... 
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软 Exchange Server 上出现一个严重漏洞,被命名为 “ProxyToken”。该漏洞详情已公开,攻击者可在无需认证的情况下访问目标账户的邮件。攻击者可在 Exchange 控制面板 (ECP) 应用程序内构造 Web 服务请求,利用该漏洞并窃取受害者收件箱中的信息。
授权混淆
ProxyToken漏洞的编号为 CVE-2021-33766,可使未认证攻击者访问用户邮箱的配置选项,定义邮件转发规则。结果,目标用户的邮件信息也可被交付给受攻击者控制的账户。
该漏洞由越南邮电集团信息安全中心 (VNPT-ISC) 的研究员 Le Xuan Tuyen 发现,他在3月份将漏洞报告提交给ZDI。他发现微软Exchange 的前端站点(Outlook Web Access、Exchange Control Panel)基本是作为后端网站 (Exchange Back End) 的代理,向后端网站传递认证请求。
在微软 Exchange 部署中,“已授权认证”功能是活跃的,前端将需要认证的请求转发到后端,后端通过”SecurityToken” cookie 是否存在来找到这些请求。
当 “/ecp” 内请求中的 “SecurityToken” cookie 不为空,则前端将认证决策授权给后端。然而,微软 Exchange 的默认配置并不会向后端 ECP 站点加载负责授权认证进程 (DelegatedAuthModule) 的模块。
ZDI 在文章中指出,“概言之,当前端看到 SecurityToken cookie 时,它知道只有后端负责认证该请求。同时,后端完全没有意识到它需要基于 SecurityToken cookie来认证某些导入的请求,因为 DegegatedAuthModule 并未加载到尚未被配置试用特殊授权认证功能的安装程序中。
完整利用 ProxyToken 漏洞还需要结合另外一个漏洞,即 /ecp 页面的请求需要名为 “ECP 金丝雀“ 的工单,而触发 HTTP 500 错误即可获得该工单。事实表明,没有工单的请求触发的 HTTP 500 错误中包含成功发布未认证请求所需的合法字符串。
从微软发布的公共安全公告来看,微软在7月份就已经发布补丁。Rapid7 公司的研究员 Tom Sellers 指出版本号和日期表明补丁早在4月份就已经发布。
该漏洞并非“严重“等级,NIST 给出的CVSS评分为7.5,原因是攻击者需要在受害者所在的 Exchange 服务器上拥有账户。比如,攻击者发送的请求可能是这样的:
ZDI 在博客文章中指出,某些 Exchange 服务器管理员设置了一个全局配置值,允许在任意目的地创建邮件转发规则。在这种情况下,攻击者无需凭据即可实施攻击。
利用尝试
尽管ProxyToken 漏洞的技术详情今天才发布,但实际上相关利用早在三周前就已开始。
NCC Group 公司的红队成员 Rich Warren 指出,8月10日出现了更多的尝试。
和 ProxyShell 漏洞的情况一样,微软 Exchange 服务器的管理员应优先安装 ProxcyToken 补丁。
