如果我知道这个季节的微软交流将是如此漫长的我有狂欢观看。有谁知道有多少剧集?

撇开讽刺不谈,虽然ProxyToken看起来像是2021年最长电视剧的又一集,但这并没有让它变得不那么严肃,或者不那么引人注目。这部电影的情节真是扣人心弦(结尾有一个令人震惊的转折)。

本周的分期付款称为ProxyToken。这是一个漏洞,允许未经身份验证的攻击者在属于任意用户的邮箱上执行配置操作。例如,攻击者可以使用该漏洞将邮件转发到他们的帐户,并阅读所有电子邮件。而不仅仅是你的帐户。所有合作工人的邮件也是如此。因此,这一集有多项可能的主题,包括普通的旧数据被盗,工业间谍或仅仅是间谍活动。

背景和人物发展

在我们解释本周的情节之前,先了解一些背景信息,并会见一些主要参与者是很重要的。

Exchange Server 2016和Exchange Server 2019在安装期间自动配置多个Internet信息服务(IIS)虚拟目录。安装还将在IIS中创建两个站点。一个是默认网站,在端口80上侦听HTTP,在端口443上侦听HTTPS。这是所有客户端都要连接以进行web访问的站点。

IIS中的Microsoft Exchange前端网站主要只是后端的代理。Exchange后端在端口81上侦听HTTP,在端口444上侦听HTTPS。对于所有身份验证后请求,前端的工作是重新打包请求并将其代理到Exchange后端站点上的相应端点。然后,它从后端收集响应并将其转发给客户端。

如果不是因为Exchange支持跨林拓扑的“委派身份验证”功能,这一切都是好的。Active Directory林(AD林)是Active Directory配置中最顶层的逻辑容器,其中包含域、用户、计算机和组策略。单个Active Directory配置可以包含多个域,我们将域上的层称为AD林。在每个域下,可以有几棵树,很难看到森林中的树。

森林信托减少需要创建的外部信任数量。森林信托是在两个森林的根域之间创建的。在此部署中,Exchange Server前端无法自己执行认证决策。相反,前端通过请求直接向后端请求,依赖于后端,以确定请求是否正确认证。使用后端逻辑进行身份验证的这些请求是通过SecurityToken Cookie的存在来识别的。

剧情

对于前端找到名为SecurityToken的非空cookie的请求,它将身份验证委托给后端。但是,后端有时完全不知道它需要基于SecurityToken cookie对这些传入请求进行身份验证,因为检查此cookie的DelegateDauthmule没有加载到尚未配置为使用特殊委托身份验证功能的安装中。最终的结果是,精心编制的请求可以通过,而无需进行身份验证。不在前端也不在后端。

扭曲

在成功发出未经身份的请求之前,还有一个额外的障碍物需要清除,但事实证明是一个轻微的滋扰。每个对Exchange Control窗格(ECP)页面的请求需要称为“ECP Canary”的票证。没有金丝雀,请求将导致HTTP 500响应。

然而,想象一下攻击者的运气,500错误响应伴随着一个有效的金丝雀!攻击者可以在其下一个精心编制的请求中使用。

悬崖

此特定利用假设攻击者在与受害者相同的Exchange服务器上有一个帐户。它安装了一个转发规则,允许攻击者阅读所有受害者的传入邮件。在某些Exchange Installations上,管理员可能会设置全局配置值,允许转发具有任意互联网目标的规则,并且在这种情况下,攻击者根本不需要任何交换凭据。此外,由于整个ECP现场可能受到影响,因此也可以提供各种其他剥削手段。

学分

据报道了Proxytoken漏洞零日倡议2021年3月由VNPT ISC的研究员Le Xuan Tuyen。漏洞列出CVE-2021-33766作为Microsoft Exchange信息泄露漏洞,该漏洞由Microsoft于2021年7月发布Exchange累积更新。该CVE在2021年4月发布的更新中得到了解决,但在2021年4月的安全更新中无意中遗漏了CVE。

其他“必须观看”剧集

Microsoft Exchange今年一直在铆接观看,并在今年四个月到来,这似乎不太可能是Proxytoken将成为赛季结局。所以这是本赛季“必须观看”剧集的列表(到目前为止)。如果你错过了,我们建议你尽快赶上。

并记住,交换是今年吸引了很多兴趣。每个人都是粉丝。所有这些漏洞都正在积极扫描和利用恶意软件小贩,包括勒索瓶帮派。