继 3 月出现“ProxyLogon”漏洞之后,微软 Exchange 又再度出现名为“ProxyToken”(CVE-2021-33766)的全新重大安全漏洞,未经身份认证的攻击者能透过这个漏洞,存取并窃取目标受害者的邮件。
微软 Exchange“ProxyLogon”漏洞是由越南邮件电信集团资安中心(VNPT-ISC)研究人员 Le Xuan Tuyen 发现,并通报给趋势科技的零时差计划(Zero Day Initiative,ZDI)。
微软 Exchange 基本上采用两个网站,一为供使用者连接以便存取邮件的前端网站,一为负责身份认证机制的后端网站。根据趋势科技 ZDI 计划官网于 8 月 30 日针对该漏洞所发布的贴文指出,前端网站基本上只做为后端的代理之用,其主要角色在于将所有身份认证后的请求重新打包,并将他们代理到后端网站上的相应端点,接着系统会搜集来自后端的回应,再将这些回应转发给用户端。
问题全出在所谓“委托身份认证”(Delegated Authentication)上,该机制会让前端直接将身份认证请求发送给后端。这些请求会包含一个 Security Token cookie 以辨识他们,换言之,一旦前端发现一个名为 Security Token 的非空 cookie 时,就会将身份认证委托给后端进行。在预设配置的情况下,并不会载入专门负责委托认证的模组(DelegatedAuthModule),必须对 Exchange 进行专门的配置,才能让后端执行这个身份认证检查作业。
所以,凡是没有进行专门的配置,后端完全不会知道它必须基于 Security Token cookie 来对传入的请求进行身份认证。如此一来,结果会是,这些请求能在不需于前端或后端进行身份认证的情况下顺利通过。
针对这个漏洞,微软已在 7 月 Exchange 累积更新中进行修补,还未更新的企业组织应尽快进行更新,以避免不必要的安全风险。
- Microsoft Exchange ‘ProxyToken’ Bug Allows Email Snooping
(首图来源:Microsoft)
