OzzTech - Microsoft Exchange ‘ProxyToken’ Hatası E-posta Gözetlemeye İzin Veriyor

Microsoft Exchange ‘ProxyToken’ Hatası E-posta Gözetlemeye İzin Veriyor

ProxyToken Hatası

ProxyToken Hatası (CVE-2021-33766), kurbanların kişisel bilgilerini, hassas şirket verilerini ve daha fazlasını ortaya çıkarabilecek bir bilgi ifşa sorunudur.

Microsoft Exchange Server'da araştırmacıların ProxyToken hatası olarak adlandırdığı ciddi bir güvenlik açığı, kimliği doğrulanmamış bir saldırganın hedefin posta kutusundan e-postalara erişmesine ve bu e-postaları çalmasına izin verebilir.

Microsoft Exchange iki web sitesi kullanır; biri, ön uç, kullanıcıların e-postaya erişmek için bağlandığı yerdir. İkincisi, kimlik doğrulama işlevini yerine getiren bir arka uç sitesidir.

"Ön uç web sitesi çoğunlukla sadece arka uç için bir vekildir. Trend Micro'nun Zero Day Initiative'deki hatayla ilgili Pazartesi günü yayınlanan bir gönderiye göre, ön uç, form kimlik doğrulaması gerektiren erişime izin vermek için /owa/auth/logon.aspx gibi sayfalar sunar . “Tüm kimlik doğrulama sonrası istekler için ön ucun ana rolü, istekleri yeniden paketlemek ve bunları Exchange Back End sitesindeki ilgili uç noktalara proxy yapmaktır. Ardından arka uçtan gelen yanıtları toplar ve bunları müşteriye iletir.”

Sorun, özellikle ön ucun kimlik doğrulama isteklerini doğrudan arka uca ilettiği "Delegated Authentication" adlı bir özellikte ortaya çıkıyor. Bu istekler, onları tanımlayan bir SecurityToken tanımlama bilgisi içerir; yani, ön uç SecurityToken adında boş olmayan bir tanımlama bilgisi bulursa, kimlik doğrulamasını arka uca devreder. Ancak, Exchange'in arka ucun kimlik doğrulama kontrollerini gerçekleştirmesi için özel olarak yapılandırılması gerekir; varsayılan bir yapılandırmada, bundan sorumlu modül ("DelegatedAuthModule") yüklenmez.

ZDI'ye göre, "Ön uç SecurityToken tanımlama bilgisini gördüğünde, bu isteğin doğrulanmasından yalnızca arka ucun sorumlu olduğunu bilir". “Bu arada, arka uç, SecurityToken tanımlama bilgisine dayalı olarak bazı gelen isteklerin kimliğini doğrulaması gerektiğinden tamamen habersizdir, çünkü DelegatedAuthModule, özel yetki verilmiş kimlik doğrulama özelliğini kullanmak üzere yapılandırılmamış kurulumlarda yüklenmez. Net sonuç, isteklerin ön veya arka uçta kimlik doğrulamaya tabi tutulmadan geçebilmesidir.”

Saldırgan buradan, kurbanın gelen postasını okumasını sağlayan bir yönlendirme kuralı yükleyebilir.

Gönderiye göre, "Bu güvenlik açığı ile kimliği doğrulanmamış bir saldırgan, rastgele kullanıcılara ait posta kutularında yapılandırma eylemleri gerçekleştirebilir". "Etkinin bir örneği olarak, bu, bir hedefe ve hesaba gönderilen tüm e-postaları kopyalamak ve saldırgan tarafından kontrol edilen bir hesaba iletmek için kullanılabilir."

ZDI, bir saldırganın kurbanla aynı Exchange sunucusunda bir hesaba sahip olduğu bir istismar senaryosunun ana hatlarını çizdi. Bununla birlikte, araştırmacılar, bir yöneticinin rastgele internet hedeflerine sahip yönlendirme kurallarına izin vermesi durumunda, hiçbir Exchange kimlik bilgisine ihtiyaç duyulmadığını belirtti.

Hata ( CVE-2021-33766 ), VNPT ISC'den araştırmacı Le Xuan Tuyen tarafından Zero Day Initiative'e bildirildi ve Microsoft tarafından Temmuz Exchange toplu güncellemelerinde yamalandı. Kuruluşlar, ödün vermemek için ürünlerini güncellemelidir.

ProxyToken açıklaması, Mart ayı başlarında ProxyLogon'un açıklanmasından sonra gelir ; bu, birlikte bir ön kimlik doğrulama uzaktan kod yürütme (RCE) istismarı oluşturan dört Exchange kusurundan (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) oluşan bir istismar zinciridir. Saldırganlar, herhangi bir geçerli hesap kimlik bilgilerini bilmeden yama uygulanmamış sunucuları ele geçirebilir, bu da onlara e-posta iletişimlerine erişim ve ortamda daha fazla istismar için bir web kabuğu yükleme fırsatı verir. ProxyLogon, bahar boyunca geniş çaplı saldırılarda silah olarak kullanıldı.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.