Опасная уязвимость, получившая наименование ProxyToken и идентификатор CVE-2021-33766, была обнаружена в Microsoft Exchange ещё в марте 2021 года, но до недавнего времени её опасность недооценивали. Патч KB5001779, закрывающий данную уязвимость, рекомендуется установить как можно скорее.
Суть уязвимости, получившей прозвище ProxyToken, заключается в том, что неаутентифицированный злоумышленник может получить доступ к настройкам почтовых ящиков пользователей и создавать правила пересылки почты. Если такие действия будут проведены, письма будут доставлены не только изначальным адресатам, но и злоумышленнику.
Первопричиной такого поведения Microsoft Exchange являет то, что фронтенд-сайт Microsoft Exchange (Outlook Web Access, Exchange Control Panel) по большей части работает как прокси для бэкенда (Exchange Back End), передавая тому запросы аутентификации. В установках Exchange, где активна функция Delegated Authentication, фронтенд пересылает бэкенду запросы, которые требуют аутентификации. Бэкенд, в свою очередь, идентифицирует их по наличию файла cookie SecurityToken. Если в запросе /ecp присутствует непустой файл cookie SecurityToken, фронтенд делегирует решение об аутентификации бэкенду.
Проблема заключается в том, что конфигурация Microsoft Exchange по умолчанию не загружает для бэкенда ECP-модуль, ответственный за делегирование процесса валидации (DelegatedAuthModule). И запросы, содержащие непустой файл cookie с именем SecurityToken, которые перенаправляются с фронтенда к бэкенду, не аутентифицируются, а ответы с ошибкой HTTP 500 раскрывают canary-токен Exchange Control Panel.
Корпорация Microsoft выпустила патч для уязвимости ProxyToken в июле 2021 года, но тогда на данный баг не обратили особого внимания, посчитав его не сильно опасным. Отмечалось, что для проведения атаки злоумышленнику нужна учётная запись на сервере Exchange, который он атакует. Но новые подробности об уязвимости заставили специалистов в области информационной безопасности пересмотреть своё отношение к уязвимости CVE-2021-33766.
Специалисты Zero-Day Initiative отмечают, что некоторые администраторы Exchange настраивают свои серверы таким образом, что возможно создать правило для пересылки почты в произвольное место. В этом случае злоумышленнику не понадобятся учётные данные.
Попытки эксплуатации бага ProxyToken уже предпринимаются. Так, например, Рич Уоррен из NCC Group утверждает, что он был свидетелем множества попыток эксплуатации этой проблемы ещё три недели назад.
Как уже было сказано, уязвимость ProxyToken устраняется патчем KB5001779. Получить данный патч можно автоматически через Центр обновления Windows. Другим способом является скачивание и установка патча вручную. Скачать KB5001779 можно по этой ссылке.
Статьи по теме: