Microsoft Exchange: Le bogue ProxyToken peut permettre aux pirates de voler le courrier électronique

0

Des détails techniques ont émergé sur une vulnérabilité sérieuse dans Microsoft Exchange Server surnommée ProxyToken qui ne nécessite pas d’authentification pour accéder aux e-mails à partir d’un compte cible.

Un attaquant peut exploiter la vulnérabilité en créant une requête aux services Web au sein de l’application Exchange Control Panel (ECP) et voler des messages dans la boîte de réception d’une victime.

Confusion de délégation

Traqué sous l’identifiant CVE-2021-33766, ProxyToken donne aux attaquants non authentifiés l’accès aux options de configuration des boîtes aux lettres des utilisateurs, où ils peuvent définir une règle de transfert d’e-mails.

Par conséquent, les e-mails destinés à un utilisateur cible peuvent également être remis à un compte contrôlé par l’attaquant.

Le bogue a été découvert par Le Xuan Tuyen, chercheur au Centre de sécurité de l’information du Groupe des postes et télécommunications du Vietnam (VNPT-ISC) et signalé dans le cadre du programme Zero-Day Initiative (ZDI) en Mars.

Il a découvert que le site frontal de Microsoft Exchange (Outlook Web Access, Panneau de configuration Exchange) fonctionnait en grande partie comme un proxy pour le site principal (Exchange Back End), auquel il transmettait les requêtes d’authentification.

Dans les déploiements de Microsoft Exchange où la fonctionnalité « Authentification déléguée » est active, le frontend transmet les requêtes nécessitant une authentification au backend, qui les identifie par la présence d’un cookie « SecurityToken ».

Microsoft Exchange ProxyToken
source: ZDI

Lorsqu’il y a un cookie « SecurityToken » non vide dans une requête dans « /ecp », le frontend délègue la décision d’authentification au backend.

Cependant, la configuration par défaut de Microsoft Exchange ne charge pas le module chargé de déléguer le processus de validation (DelegatedAuthModule) pour le site ECP backend.

« En résumé, lorsque le front end voit le cookie SecurityToken, il sait que le back end est seul responsable de l’authentification de cette requête. Pendant ce temps, le back-end ne sait absolument pas qu’il doit authentifier certaines requêtes entrantes en fonction du cookie SecurityToken, car le DelegatedAuthModule n’est pas chargé dans les installations qui n’ont pas été configurées pour utiliser la fonction d’authentification déléguée spéciale » – Zero-Day Initiative

L’exploitation de la vulnérabilité ProxyToken n’est pas complète sans un autre problème, même mineur: les requêtes pour la page /ecp nécessitent un ticket appelé « ECP canary », qui peut être obtenu lors du déclenchement d’une erreur HTTP 500.

Il s’avère que les requêtes sans ticket déclenchent l’erreur HTTP 500 qui contient la chaîne valide nécessaire pour émettre avec succès une demande non authentifiée.

ProxyToken
source: ZDI

Un correctif est disponible auprès de Microsoft depuis juillet, selon l’avis public de la société. Tom Sellers de Rapid7 note que les numéros de version et les dates indiquent que les correctifs ont été publiés dès avril.

La vulnérabilité n’est pas critique. Le NIST a calculé son score de gravité à 7,5 sur 10. En effet, un attaquant a besoin d’un compte sur le même serveur Exchange que la victime.

À titre d’exemple, une requête d’un attaquant ressemble à ceci:

Dans un article de blog publié récemment, Zero-Day Initiative note que certains administrateurs de serveurs Exchange définissent une valeur de configuration globale qui permet de créer une règle de transfert de courrier électronique vers une destination arbitraire. Dans de tels cas, l’attaquant n’a pas besoin d’informations d’identification.

Tentatives d’exploitation

Bien que les détails techniques de ProxyToken n’aient été publiés que récemment, des tentatives d’exploit ont été enregistrées il y a déjà trois semaines.

Selon Rich Warren, de NCC Group, il a vu un très grand nombre de tentatives d’exploitation le 10 août.

proxytaken
source: Rich Warren

Comme dans le cas des vulnérabilités ProxyShell, si les administrateurs des serveurs Microsoft Exchange n’ont pas installé les correctifs pour ProxyToken, ils doivent prioriser la tâche.

Laisser un commentaire