ProxyToken Hatası (CVE-2021-33766), kurbanların kişisel bilgilerini, hassas şirket verilerini ve daha fazlasını ortaya çıkarabilecek bir bilgi ifşa sorunudur.
Microsoft Exchange Server’da araştırmacıların ProxyToken hatası olarak adlandırdığı ciddi bir güvenlik açığı, kimliği doğrulanmamış bir saldırganın hedefin posta kutusundan e-postalara erişmesine ve bu e-postaları çalmasına izin verebilir.
Microsoft Exchange iki web sitesi kullanır; biri, ön uç, kullanıcıların e-postaya erişmek için bağlandığı yerdir. İkincisi, kimlik doğrulama işlevini yerine getiren bir arka uç sitesidir.
“Ön uç web sitesi çoğunlukla sadece arka uç için bir vekildir. Trend Micro’nun Zero Day Initiative’deki hatayla ilgili Pazartesi günü yayınlanan bir gönderiye göre, ön uç, form kimlik doğrulaması gerektiren erişime izin vermek için /owa/auth/logon.aspx gibi sayfalar sunar . “Tüm kimlik doğrulama sonrası istekler için ön ucun ana rolü, istekleri yeniden paketlemek ve bunları Exchange Back End sitesindeki ilgili uç noktalara proxy yapmaktır. Ardından arka uçtan gelen yanıtları toplar ve bunları müşteriye iletir.”
Sorun, özellikle ön ucun kimlik doğrulama isteklerini doğrudan arka uca ilettiği “Delegated Authentication” adlı bir özellikte ortaya çıkıyor. Bu istekler, onları tanımlayan bir SecurityToken tanımlama bilgisi içerir; yani, ön uç SecurityToken adında boş olmayan bir tanımlama bilgisi bulursa, kimlik doğrulamasını arka uca devreder. Ancak, Exchange’in arka ucun kimlik doğrulama kontrollerini gerçekleştirmesi için özel olarak yapılandırılması gerekir; varsayılan bir yapılandırmada, bundan sorumlu modül (“DelegatedAuthModule”) yüklenmez.
ZDI’ye göre, “Ön uç SecurityToken tanımlama bilgisini gördüğünde, bu isteğin doğrulanmasından yalnızca arka ucun sorumlu olduğunu bilir”. “Bu arada, arka uç, SecurityToken tanımlama bilgisine dayalı olarak bazı gelen isteklerin kimliğini doğrulaması gerektiğinden tamamen habersizdir, çünkü DelegatedAuthModule, özel yetki verilmiş kimlik doğrulama özelliğini kullanmak üzere yapılandırılmamış kurulumlarda yüklenmez. Net sonuç, isteklerin ön veya arka uçta kimlik doğrulamaya tabi tutulmadan geçebilmesidir.”
Saldırgan buradan, kurbanın gelen postasını okumasını sağlayan bir yönlendirme kuralı yükleyebilir.
Gönderiye göre, “Bu güvenlik açığı ile kimliği doğrulanmamış bir saldırgan, rastgele kullanıcılara ait posta kutularında yapılandırma eylemleri gerçekleştirebilir”. “Etkinin bir örneği olarak, bu, bir hedefe ve hesaba gönderilen tüm e-postaları kopyalamak ve saldırgan tarafından kontrol edilen bir hesaba iletmek için kullanılabilir.”
ZDI, bir saldırganın kurbanla aynı Exchange sunucusunda bir hesaba sahip olduğu bir istismar senaryosunun ana hatlarını çizdi. Bununla birlikte, araştırmacılar, bir yöneticinin rastgele internet hedeflerine sahip yönlendirme kurallarına izin vermesi durumunda, hiçbir Exchange kimlik bilgisine ihtiyaç duyulmadığını belirtti.
Hata ( CVE-2021-33766 ), VNPT ISC’den araştırmacı Le Xuan Tuyen tarafından Zero Day Initiative’e bildirildi ve Microsoft tarafından Temmuz Exchange toplu güncellemelerinde yamalandı. Kuruluşlar, ödün vermemek için ürünlerini güncellemelidir.
ProxyToken açıklaması, Mart ayı başlarında ProxyLogon’un açıklanmasından sonra gelir ; bu, birlikte bir ön kimlik doğrulama uzaktan kod yürütme (RCE) istismarı oluşturan dört Exchange kusurundan (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) oluşan bir istismar zinciridir. Saldırganlar, herhangi bir geçerli hesap kimlik bilgilerini bilmeden yama uygulanmamış sunucuları ele geçirebilir, bu da onlara e-posta iletişimlerine erişim ve ortamda daha fazla istismar için bir web kabuğu yükleme fırsatı verir. ProxyLogon, bahar boyunca geniş çaplı saldırılarda silah olarak kullanıldı.