ProxyTokenの脆弱性を利用してExchangeサーバーの設定が変更される可能性があることが発覚

Microsoft Exchange

2020年7月にリリースされたMicrosoft Exchangeセキュリティアップデートを適用しなかった場合、ProxyShellという深刻な脆弱性が利用される可能性があることがわかりました。

この脆弱性は、VNPT ISCの研究者であるLe Xuan Tuyen氏によって2021年3月にZero Day Initiativeに報告され、2021年6月のExchange累積更新プログラムでMicrosoftによってパッチが適用されました。この脆弱性の識別子は、CVE-2021-33766およびZDI-CAN-13477です。

「ProxyToken」と呼ばれるこの脆弱性は、リモートの攻撃者が認証を回避して、Exchangeメールサーバーのバックエンド構成に変更を加えることを可能にします。

このProxyToken脆弱性は、ユーザーのメールボックスにメール転送ルールを密かに追加し、被害者宛てのすべてのメールが攻撃者の管理するアカウントにも送信されるようにするために使用されることもわかりました。

https://sec.vnpt.vn/

Zero-Day Initiativeプログラムを通じて報告されたこの脆弱性は、Exchangeのコードに2つの問題があるために存在するとLe Xuan Tuyen氏は述べています。

  • フロントエンドからバックエンドにリダイレクトされた「SecurityToken」という名前の空ではないクッキーを含むリクエストは、認証されない。
  • HTTP 500エラーレスポンスでは、Exchangeコントロールパネルのカナリヤトークンが公開される。

この2つを組み合わせることで、ProxyToken攻撃が可能となり、攻撃者はユーザーのコントロールパネルや設定を含むExchangeバックエンドのあらゆる部分に容易にリクエストを行うことができるとLe氏は述べています。

4月に報告されたこのバグは、CVE-2021-33766という識別子で2021年7月のパッチチューズデーのセキュリティアップデートで修正されました。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33766

この攻撃の詳細はZero-Day Initiativeのブログで公開される予定であうため、サーバー所有者は攻撃者がこの攻撃方法を行うと考えておいたほうがよいでしょう

https://www.zerodayinitiative.com/blog/2021/8/30/proxytoken-an-authentication-bypass-in-microsoft-exchange-server

ProxyShell脆弱性の詳細がオンラインで公開された後、Exchangeサーバに対する攻撃が急増しましたが、これらの攻撃は数日のうちに急速にエスカレートし、LockFileと呼ばれる新しいランサムウェアが、Exchangeサーバを悪用して企業ネットワークを暗号化しています。

Leave a Reply

Your email address will not be published.