ظهرت تفاصيل ثغرة أمنية ثابتة الآن تؤثر على Microsoft Exchange Server والتي يمكن استخدامها من قبل مهاجم غير مصادق لتعديل تكوينات الخادم ، مما يؤدي إلى الكشف عن معلومات التعريف الشخصية (PII).
المشكلة ، تليها CVE-2021-33766 (درجة CVSS: 7.3) واخترعها “ProxyToken“، تم اكتشافه من قبل Le Xuan Tuyen ، الباحث في مركز أمن المعلومات التابع لمجموعة فيتنام للبريد والاتصالات (VNPT-ISC) ، وتم الإبلاغ عنه في إطار برنامج Zero-Day Initiative (ZDI) في مارس 2021.
“باستخدام هذه الثغرة الأمنية ، يمكن للمهاجم غير المصادق تنفيذ إجراءات التكوين على علب البريد التي تنتمي إلى مستخدمين عشوائيين” ، ZDI وأشار في يوم الاثنين. “لتوضيح التأثير ، يمكن استخدام هذا لنسخ جميع رسائل البريد الإلكتروني الموجهة إلى هدف وحساب وإرسالها إلى حساب يتحكم فيه المهاجم.”
عالجت Microsoft المشكلة كجزء من تحديثات يوم الثلاثاء التصحيح في يوليو 2021.
يكمن الخلل الأمني في ميزة تسمى المصادقة المفوضة ، والتي تشير إلى آلية يقوم من خلالها موقع الويب الأمامي – عميل Outlook Web Access (OWA) – بإعادة توجيه طلبات المصادقة مباشرة إلى النهاية الخلفية عندما يكتشف وجود SecurityToken بسكويت. .
ومع ذلك ، نظرًا لأنه يجب تكوين Exchange بشكل خاص لاستخدام الميزة وتقوم الواجهة الخلفية بإجراء عمليات الفحص ، فإن هذا يؤدي إلى سيناريو حيث لا يتم تحميل الوحدة النمطية التي تتعامل مع هذا التفويض (“التفويضات للوحدة”) ضمن التكوين افتراضيًا ، وبلغت ذروتها في حل بديل نظرًا لأن النهاية الخلفية تفشل في مصادقة الطلبات الواردة بناءً على ملف تعريف الارتباط SecurityToken.
أوضح سيمون زوكربراون من ZDI أن “النتيجة النهائية هي أن الطلبات يمكن أن تمر دون أن تخضع للمصادقة على الواجهة الأمامية أو الخلفية”.
يضيف الكشف إلى قائمة متزايدة من نقاط الضعف في Exchange Server التي ظهرت للضوء هذا العام ، بما في ذلك اتصال الوكيلو ProxyOracle، و ProxyShell، والتي تم استغلالها بشكل نشط من قبل الجهات الضارة للسيطرة على الخوادم غير المصححة ، ونشر قذائف الويب الضارة وبرامج الفدية لتشفير الملفات مثل قفل الملف.
المثير للقلق ، أن محاولات استغلال ProxyToken في البرية قد تم تسجيلها بالفعل في 10 أغسطس ، بحسب إلى ريتش وارين ، الباحث الأمني في مجموعة NCC ، الأمر الذي يحتم على العملاء التحرك بسرعة لتطبيق تحديثات الأمان من Microsoft.
Social media junkie. Zombie fanatic. Travel fanatic. Music obsessed. Bacon expert.