微软Exchange新漏洞ProxyToken可以让攻击者重新配置邮箱

有关影响 Microsoft Exchange Server 的现已修补的安全漏洞的详细信息已经出现，未经身份验证的攻击者可以利用该漏洞修改服务器配置，从而导致个人身份信息 (PII) 的泄露。

该漏洞被追踪为CVE-2021-33766（CVSS 评分：7.3）并命名为“ ProxyToken ”，由越南邮电集团信息安全中心 (VNPT-ISC) 的研究员 Le Xuan Tuyen 发现，并报告通过 2021 年 3 月的零日计划 (ZDI) 计划。

“利用这个漏洞，未经身份验证的攻击者可以对属于任意用户的邮箱执行配置操作，”ZDI周一表示。“作为影响的例证，这可用于复制发送到目标和帐户的所有电子邮件，并将它们转发到由攻击者控制的帐户。”

微软在2021 年 7 月的星期二补丁更新中解决了这个问题。

安全缺陷在于一项称为委托身份验证的功能，该功能指的是一种机制，即前端网站——Outlook Web 访问 (OWA) 客户端——在检测到存在 SecurityToken cookie 时将身 份验证请求直接传递给后端.

但是，由于必须专门配置 Exchange 以使用该功能并让后端执行检查，因此会导致在默认配置下未加载处理此委托的模块（“DelegatedAuthModule”）的情况，最终在绕过中，因为后端无法根据 SecurityToken cookie 对传入请求进行身份验证。

“最终结果是请求可以顺利通过，而无需在前端或后端进行身份验证，”ZDI 的 Simon Zuckerbraun 解释说。

这一披露增加了今年曝光的越来越多的 Exchange Server 漏洞，包括ProxyLogon、ProxyOracle和ProxyShell，这些漏洞已被威胁行为者积极利用来接管未修补的服务器、部署恶意 web shell 和文件加密勒索软件例如LockFile。

Troublingly，在最狂野利用企图滥用ProxyToken已经被记录，早在8月10日，根据到NCC Group的安全研究员富沃伦，使其成为当务之急是客户迅速行动，从微软应用安全更新。