Ga naar inhoud

ProxyToken-lek maakt diefstal van e-mails op Exchange Servers mogelijk


Aanbevolen berichten

Er zijn details openbaar gemaakt van een kwetsbaarheid in Microsoft Exchange waardoor het mogelijk is voor een ongeauthenticeerde aanvaller om inkomende e-mails te stelen. De kwetsbaarheid wordt aangeduid als ProxyToken en CVE-2021-33766 en werd vorige maand door Microsoft gepatcht.

Door de kwetsbaarheid kan een aanvaller de configuratie van mailboxes van willekeurige gebruikers aanpassen en een doorstuurregel aanmaken waardoor inkomende e-mails naar een e-mailaccount van de aanvaller worden doorgestuurd. Exchange kent een frontend en een backend. De frontend fungeert vooral als proxy voor de backend. Verzoeken worden doorgestuurd naar de backend en de respons van de backend stuurt de frontend weer naar de gebruiker.

Exchange ondersteunt een feature genaamd "delegated authentication” waarbij de frontend aan de backend overlaat of een request wel geauthenticeerd is. Deze requests zijn voorzien van een zogeheten SecurityToken-cookie. Wanneer de speciale module voor delegated authentication niet is geladen, weet de backend niet dat het bepaalde inkomende requests moet authenticeren. Zodoende kan een request zonder enige authenticatie door de frontend en backend komen.

Verder moet elk request naar een Exchange Control Panel (ECP)-pagina van een geldig ticket zijn voorzien, wat een ECP-canary wordt genoemd. Zonder deze canary komt er een HTTP 500-foutmelding. Deze foutmelding is echter voorzien van een geldige canary die voor de aanval kan worden gebruikt en het toevoegen van de doorstuurregel mogelijk maakt. Organisaties wordt aangeraden de beveiligingsupdate van 13 juli te installeren.

"Exchange Server blijft een ongelooflijk rijke voedingsbodem voor beveiligingsonderzoek. Dit komt door de enorme complexiteit van het product, zowel qua features als architectuur", zegt Simon Zuckerbraun van het Zero Day Initiative, dat de details van de kwetsbaarheid vandaag openbaar maakte.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites


Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Delen

×
×
  • Nieuwe aanmaken...