Pada bulan April, Microsoft menutup lubang lain, yang sampai sekarang tidak diketahui, di server Exchange. ProxyToken dengan cerdas melewati otentikasi untuk mengakses konfigurasi akun Exchange. Penyerang dapat menggunakannya untuk mengalihkan email masuk dari pengguna Exchange ke akun lain.
Saat mengeksploitasi celah token proxy, penyerang memainkan front-end Exchange dan back-end satu sama lain. Untuk melakukan ini, ia memberi sinyal ke front-end dengan cookie khusus bernama SecurityTokenbahwa backend akan siap untuk otentikasi. Ini adalah fitur yang diperlukan untuk menyambung ke penginstalan Exchange yang kompleks (“Otentikasi terdelegasi” dalam topologi lintas hutan).
Anda mengambilnya, saya pasti akan memilikinya
Sayangnya, dalam konfigurasi standar, backend tidak memuat DelegatedAuthModule yang diperlukan untuk ini sama sekali dan sebaliknya mengasumsikan bahwa frontend telah melakukan otentikasi. Akibatnya, penyerang dapat mengirimkan perubahan konfigurasi mereka ke backend tanpa data koneksi apa pun.
Celah ini ditemukan oleh peneliti keamanan Vietnam Le Xuan Tuyen, yang melaporkannya ke ZDI. Ini menggambarkan dalam posting blog masalah mendasar sekarang lebih tepatnya. Mereka juga menjelaskan bahwa eksploitasi saat ini hanya berfungsi dalam pengaturan default jika penyerang sendiri juga memiliki akun di server yang sama tempat ia dapat meneruskan email.
Tidak terdokumentasi dengan baik
Microsoft tampaknya sudah memiliki kerentanan CVE-2021-33766 Pembaruan April untuk Exchange perusahaan. Tetapi mereka tidak menambahkan catatan ke dokumentasi sampai 24 Agustus. Dan dia hanya berbicara tentang “kerentanan di Microsoft Exchange Server mengenai pengungkapan informasi” tanpa perincian lebih lanjut. Artikel ZDI saat ini mengklaim bahwa kesenjangan akan ditutup dengan pembaruan Juli. Tetapi seorang karyawan Microsoft membantah hal ini dalam karyanya Klarifikasi VEC diatur di mana CU akan
Kebijakan patch Microsoft untuk Exchange telah menerima banyak kritik. Perbaikan keamanan yang tidak terdokumentasi dengan baik atau tidak terdokumentasi sama sekali membuat pekerjaan administrator menjadi sulit. Kekacauan yang tidak dapat ditembus antara pembaruan kumulatif, yang juga menyebabkan perubahan fungsional, dan pembaruan keamanan murni berulang kali menyebabkan kebingungan dan akhirnya server Exchange tidak aman. Sepertinya Microsoft secara sadar menerima ini sehingga pelanggan yang frustrasi akhirnya dapat beralih ke penawaran cloud Microsoft 365 mereka.
(ju)
“Organizer. Devoted music enthusiast. Pop culture pioneer. Coffee practitioner.”
