Cacat ‘ProxyToken’ Microsoft Exchange Baru Memungkinkan Penyerang Mengonfigurasi Ulang Kotak Surat

  • Whatsapp
Microsoft Exchange

Detail telah muncul tentang kerentanan keamanan yang sekarang ditambal yang berdampak pada Microsoft Exchange Server yang dapat dipersenjatai oleh penyerang yang tidak diautentikasi untuk mengubah konfigurasi server, sehingga mengarah pada pengungkapan Informasi Identifikasi Pribadi (PII).

Masalahnya, dilacak sebagai CVE-2021-33766 (Skor CVSS: 7,3) dan diciptakan “Token Proksi,” ditemukan oleh Le Xuan Tuyen, peneliti di Information Security Center of Vietnam Posts and Telecommunications Group (VNPT-ISC), dan dilaporkan melalui program Zero-Day Initiative (ZDI) pada Maret 2021.

Bacaan Lainnya

Tim Stack Overflow

“Dengan kerentanan ini, penyerang yang tidak diautentikasi dapat melakukan tindakan konfigurasi pada kotak surat milik pengguna sewenang-wenang,” ZDI dikatakan Senin. “Sebagai ilustrasi dampaknya, ini dapat digunakan untuk menyalin semua email yang ditujukan ke target dan akun dan meneruskannya ke akun yang dikendalikan oleh penyerang.”

Microsoft mengatasi masalah ini sebagai bagian dari pembaruan Patch Tuesday untuk Juli 2021.

Kelemahan keamanan terletak pada fitur yang disebut Delegated Authentication, yang mengacu pada mekanisme di mana situs web front-end — klien Outlook web access (OWA) — meneruskan permintaan otentikasi langsung ke back-end ketika mendeteksi keberadaan cookie SecurityToken .

Token Proksi Microsoft Exchange

Namun, karena Exchange harus dikonfigurasi secara khusus untuk menggunakan fitur dan meminta back-end melakukan pemeriksaan, itu mengarah ke skenario di mana modul yang menangani delegasi ini (“DelegatedAuthModule”) tidak dimuat di bawah konfigurasi default, yang berpuncak di bypass karena back-end gagal mengautentikasi permintaan masuk berdasarkan cookie SecurityToken.

“Hasil bersihnya adalah permintaan dapat diteruskan, tanpa dikenakan otentikasi di bagian depan atau belakang,” jelas Simon Zuckerbraun dari ZDI.

Mencegah Pelanggaran Data

Pengungkapan tersebut menambah daftar kerentanan Exchange Server yang semakin meningkat yang terungkap tahun ini, termasuk ProxyLogon, ProxyOracle, dan ProxyShell, yang telah secara aktif dieksploitasi oleh pelaku ancaman untuk mengambil alih server yang belum ditambal, menyebarkan web shell berbahaya, dan ransomware enkripsi file. seperti Lock File.

Yang mengkhawatirkan, upaya eksploitasi di alam liar yang menyalahgunakan ProxyToken telah dicatat sejak 10 Agustus, Menurut kepada peneliti keamanan NCC Group Rich Warren, yang mengharuskan pelanggan bergerak cepat untuk menerapkan pembaruan keamanan dari Microsoft.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *