邮箱网讯 9月3日消息 继3月出现「ProxyLogon」漏洞之后,微软Exchange 又再度出现名为「ProxyToken」(CVE-2021-33766)的全新重大安全漏洞。研究人员称之为 ProxyToken 的 Microsoft Exchange Server 中存在一个严重的安全漏洞,可能允许未经身份验证的攻击者访问和窃取目标邮箱中的电子邮件。
微软Exchange「ProxyLogon」漏洞是由越南邮件电信集团信息安全中心(VNPT-ISC)研究人员Le Xuan Tuyen 发现的,并通报给趋势科技的零时差计划(Zero Day Initiative,ZDI)。
Microsoft Exchange 使用两个网站: 一,前端,是用户为了访问电子邮件而连接的地方。 第二个是处理身份验证功能的后端站点。
根据趋势科技ZDI 计划官网在周一针对该漏洞所发布的贴文指出,前端网站基本上只作为后端的代理之用,其主要角色在于将所有身份认证后的请求重新打包,并将他们代理到后端网站上的相应端点。接着系统会收集来自后端的回应,然后再将这些回应转发给用户端。
该问题全出现在称为“委托身份验证”的功能中,其中前端将身份验证请求直接传递给后端。 这些请求包含用于识别它们的 SecurityToken cookie;换言之,就是如果前端发现一个名为Security Token 的非空cookie 时,就会将身份认证委托给后端进行。在默认配置的情况下,并不会加载专门负责委托认证的模块(DelegatedAuthModule),必须对Exchange 进行专门的配置,才能让后端执行这个身份验证检查操作。
所以,凡是没有进行专门的配置,后端就完全不会知道它必须基于Security Token cookie 来对传入的请求进行身份认证。如此一来,结果会是,这些请求可以在不需要在前端或后端进行身份认证的情况下顺利通过。
针对这个漏洞,微软已在7 月的Exchange 累积更新中进行修补,还未更新的企业组织应尽快进行更新,以避免不必要的安全风险。
来源: 风哥聊科技
RSS订阅
