CISA meldt actief misbruik van ProxyToken-lek in Exchange Server

[Captain Kirk]

Er wordt actief misbruik gemaakt van het ProxyToken-lek in Microsoft Exchange Server waarvoor vorig jaar een update verscheen, zo waarschuwt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Via het lek kan een ongeauthenticeerde aanvaller inkomende e-mails stelen. Alle federale Amerikaanse overheidsinstanties moeten de beveiligingsupdate om het probleem te verhelpen voor 1 februari hebben geïnstalleerd.

Microsoft kwam op 13 juli vorig jaar met een update voor het ProxyToken-lek, dat ook wordt aangeduid als CVE-2021-33766. Door de kwetsbaarheid kan een aanvaller, wanneer die een speciaal geprepareerd request naar de Exchange Server stuurt, de configuratie van mailboxes van willekeurige gebruikers aanpassen en een doorstuurregel aanmaken waardoor inkomende e-mails naar een e-mailaccount van de aanvaller worden doorgestuurd.

Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste uitbreiding betreft dertien kwetsbaarheden. Naast het ProxyToken-lek gaat het ook om kwetsbaarheden in BIG-IP, Nagios, Drupal, Apache Airflow, Oracle Corporate Business Intelligence Enterprise Edition, Aviatrix en October CMS.

 

bron: https://www.security.nl