Информационная Безопасность. Аудит Безопасности


Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Уязвимость ProxyToken позволяет воровать почту через Microsoft Exchange
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Уязвимость ProxyToken позволяет воровать почту через Microsoft Exchange

01.09.2021

В Microsoft Exchange обнаружили опасную уязвимость, получившую название ProxyToken. Атакующий может воспользоваться этой проблемой, создавая запросы к веб-сервисам Exchange Control Panel (ECP) и похищая сообщения из почтового ящика жертвы. Исходно проблему обнаружил специалист VNPT ISC, который еще в марте 2021 года сообщил о ней экспертам Trend Micro Zero-Day Initiative (ZDI).

ProxyToken получила идентификатор CVE-2021-33766 и дает неаутентифицированным злоумышленникам доступ к настройкам почтовых ящиков пользователей, где они могут создать правило пересылки почты. В результате все письма будут доставлены не только пользователю, но и учетной записи, которую контролирует злоумышленник.

Как оказалось, корень проблемы заключается том, что фронтэнд-сайт Microsoft Exchange (Outlook Web Access, Exchange Control Panel) в основном работает как прокси для бэкэнда (Exchange Back End), которому передает запросы аутентификации. В установках Exchange, где активна функция Delegated Authentication, фронтэнд пересылает бэкэнду запросы, требующие аутентификации, и тот идентифицирует их по наличию файла cookie SecurityToken. Если в запросе /ecp присутствует непустой файл cookie SecurityToken, фронтэнд делегирует решение об аутентификации бэкэнду.

Однако конфигурация Microsoft Exchange по умолчанию не загружает для бэкэнда ECP-модуль, ответственный за делегирование процесса валидации (DelegatedAuthModule). В итоге запросы, содержащие непустой файл cookie с именем SecurityToken, которые перенаправляются с фронтэнда бэкэнду, не аутентифицируются, а ответы с ошибкой HTTP 500 раскрывают canary-токен Exchange Control Panel.

Патч для проблемы ProxyToken был выпущен Microsoft еще в июле, и еще тогда уязвимость была признана некритичной, ведь для успешной атаки злоумышленнику нужна учетная запись на том же сервере Exchange, где находится жертва.

Однако теперь специалисты  Zero-Day Initiative раскрыли технические подробности о проблеме и отмечают, что некоторые администраторы Exchange настраивают свои серверы таким образом, что возможно создать правило для пересылки почты в произвольное место, и в таких случаях злоумышленнику не понадобятся учетные данные.

Хотя технические детали ProxyToken были опубликованы только сейчас, попытки использования уязвимости были зафиксированы еще три недели назад. По словам Рича Уоррена из NCC Group, 10 августа он был свидетелем множества попыток эксплуатации этой проблемы.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Уязвимости
Опубликовал: shellmann
Просмотров: 2228
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • В darknet сливают данные 100 000 российских банковских карт
  • Вирус Escobar ворует коды двухфакторной аутентификации из Google ...
  • DeadBolt использует уязвимость, исправленную в декабре
  • Почти миллион WordPress-сайтов в опасности из-за уязвимости в поп...
  • Шифровальщик DeadBolt взломал 3600 NAS. Qnap устанавливает обновл...
  • Банковский троян Chaes устанавливает вредоносные расширения для C...
  • Взломана платформа Qubit Finance, хакеры похитили 80 млн долларов
  • Арест участников REvil взволновал других преступников
  • Обнаружена malware MoonBounce, внедряющаяся в UEFI
  • Администратор кардерского форума UniCC и участник хак-группы The ...

    Все новости... Все статьи... Прислать новость RSS
  • Разное / Предложения работы » Взлом авторизации CRM
  • Разное / Предложения работы » взломать сайт и выграть электронную жеребьёвку
  • Разное / Предложения работы » разблокировать сбер аккаунт
  • Разное / Болталка » Re: Форум жив?
  • Разное / Болталка » Форум жив?
  • Разное / Болталка » С Новым 2022 Годом!
  • Взлом и безопасность / Программы » Re: Hasp ключ для ABC-4
  • Портал / Отзывы и предложения » Предлагаем партнерство вашему форуму.
  • Разное / Предложения работы » взлом почты
  • Разное / Куплю, приму в дар » Покупка аккаунтов Uphold

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}