Microsoft Exchange Server’da ortaya çıkan ve ProxyToken olarak adlandırılan zafiyet ile kimlik doğrulama yapmaksızın epostaların sızdırılabileceği belirtildi. Saldırganlar ECP üzerinden istekler oluşturarak hedef mailbox’un gelen kutusundan iletileri çalabiliyorlar.
CVE-2021-33766 olarak takip edilebilen zafiyet ile kimlik doğrulaması yapmadan bir e-postanın iletme ayarları ve diğer seçenekleride dahil olmak üzere bir çok ayarın yapılmasına izin verebiliyor. Sonuç olarak saldırgan kurbana gelen mailleri kendine yönlendirebiliyor.
Zafiyet Information Security Center of Vietnam Posts and Telecommunications Group ( VNPT-ISC ) Bilgi Güvenliği Merkezi’nden araştırmacı olan Le Xuan Tuyen tarafından keşfedildi ve Mart ayında Zero-Day Initiative (ZDI) programı aracılığıyla rapor edildi .
Zafiyet nasıl ortaya çıkıyor
- Microsoft Exchange’in frontend site (Outlook Web Access, Exchange Control Panel) kimlik doğrulama isteklerini ilettiği backend site (Exchange Back End) için bir proxy işlevi gördüğünü keşfetti.
- “Delegated Authentication” özelliğinin etkin olduğu Microsoft Exchange dağıtımlarında, frontend kimlik doğrulaması gerektiren istekleri bir ‘SecurityToken’ tanımlama bilgisi ile backend’e iletir.
- ‘/ecp’ içindeki bir istekte boş olmayan bir ‘SecurityToken’ tanımlama bilgisi olduğunda, frontend kimlik doğrulama kararını backend’e bırakır.
- Ancak, Microsoft Exchange’in varsayılan yapılandırması, backend ECP site için doğrulama sürecini devretmekten sorumlu modülü (DelegatedAuthModule) yüklemez.
- Özet olarak, frontend SecurityToken tanımlama bilgisini gördüğünde, bu isteğin doğrulanmasından backend’in sorumlu olduğunu düşünür.
- Backend, özel yetki verilmiş kimlik doğrulama özelliğini kullanmak üzere yapılandırılmamış kurulumlarda DelegatedAuthModule yüklenmediğinden, SecurityToken tanımlama bilgisine dayalı olarak gelen bazı isteklerin kimliğini doğrulaması gerektiğinden tamamen habersizdir. Sonuç olarak zafiyet ortaya çıkar ve mail hırsızlığı gerçekleşir.
ProxyToken güvenlik açığından yararlanmak, /ecp sayfası istekleri, bir HTTP 500 hatası tetiklendiğinde elde edilebilecek “ECP canary” olarak bilinen bir bilete ihtiyaç duyar. Güvenlik açığı kritik olarak nitelendirilmiyor bunun nedeni, saldırganın kurbanla aynı Exchange sunucusunda bir hesaba ihtiyacı olması. NIST, önem derecesini 10 üzerinden 7,5 olarak puanlamış durumda.
Aşağıdaki örnek bir saldırganını girişimini gösteriyor.
İstismar girişimleri görüldü
NCC Group’un kırmızı ekip üyesi Rich Warren’a göre , 10 Ağustos’ta daha fazla sayıda sömürü girişimi gördü.
Microsoft, yayınlanan güncellemelerin zaman kaybetmeden uygulanması konusunda kullanıcılarını uyarıyor.
Bir kullanıcının gelen kutusu kurallarını değiştirmeye yönelik genel girişimleri tespit etmek için aşağıdaki sorgular kullanılabilir.
index=* sourcetype="ms:iis:auto" cs_method="POST" cs_uri_stem="/ecp/*/RulesEditor/InboxRules.svc/NewObject" msExchEcpCanaryveya
index=* sourcetype="ms:iis:auto" cs_method="POST" cs_uri_stem="/ecp/*/RulesEditor/InboxRules.svc/NewObject" cs_cookie="SecurityToken*" msExchEcpCanaryKaynak: bleepingcomputer.com