小心 Email 遭監聽!微軟 Exchange 出現新「ProxyToken」重大漏洞

作者 | 發布日期 2021 年 09 月 01 日 8:30 | 分類 app , Microsoft , 網路 Telegram share ! follow us in feedly


繼 3 月出現「ProxyLogon」漏洞之後,微軟 Exchange 又再度出現名為「ProxyToken」(CVE-2021-33766)的全新重大安全漏洞,未經身分認證的攻擊者能透過這個漏洞,存取並竊取目標受害者的郵件。 

微軟 Exchange「ProxyLogon」漏洞是由越南郵件電信集團資安中心(VNPT-ISC)研究人員 Le Xuan Tuyen 發現,並通報給趨勢科技的零時差計畫(Zero Day Initiative,ZDI)。

微軟 Exchange 基本上採用兩個網站,一為供使用者連接以便存取郵件的前端網站,一為負責身分認證機制的後端網站。根據趨勢科技 ZDI 計畫官網於 8 月 30 日針對該漏洞所發布的貼文指出,前端網站基本上只做為後端的代理之用,其主要角色在於將所有身分認證後的請求重新打包,並將他們代理到後端網站上的相應端點,接著系統會蒐集來自後端的回應,再將這些回應轉發給用戶端。

問題全出在所謂「委託身分認證」(Delegated Authentication)上,該機制會讓前端直接將身分認證請求發送給後端。這些請求會包含一個 Security Token cookie 以辨識他們,換言之,一旦前端發現一個名為 Security Token 的非空 cookie 時,就會將身分認證委託給後端進行。在預設配置的情況下,並不會載入專門負責委託認證的模組(DelegatedAuthModule),必須對 Exchange 進行專門的配置,才能讓後端執行這個身分認證檢查作業。

所以,凡是沒有進行專門的配置,後端完全不會知道它必須基於 Security Token cookie 來對傳入的請求進行身分認證。如此一來,結果會是,這些請求能在不需於前端或後端進行身分認證的情況下順利通過。

針對這個漏洞,微軟已在 7 月 Exchange 累積更新中進行修補,還未更新的企業組織應儘快進行更新,以避免不必要的安全風險。

(首圖來源:Microsoft