ظهرت تفاصيل حول ثغرة أمنية مصححة الآن تؤثر على Microsoft Exchange Server والتي يمكن تسليحها من قبل مهاجم غير مصدق لتعديل تكوينات الخادم ، مما يؤدي إلى الكشف عن معلومات التعريف الشخصية (PII).
تم اكتشاف هذه المشكلة ، التي تم تتبعها كـ CVE-2021-33766 (درجة CVSS: 7.3) وصاغها " ProxyToken " ، بواسطة Le Xuan Tuyen ، الباحث في مركز أمن المعلومات التابع لمجموعة البريد الفيتنامي والاتصالات السلكية واللاسلكية (VNPT-ISC) ، وأبلغ عنها من خلال برنامج Zero-Day Initiative (ZDI) في مارس 2021.
وقالت ZDI يوم الاثنين "مع هذه الثغرة الأمنية ، يمكن لمهاجم غير مصادق تنفيذ إجراءات التكوين على علب البريد التي تنتمي إلى مستخدمين عشوائيين " . "كدليل على التأثير ، يمكن استخدام هذا لنسخ جميع رسائل البريد الإلكتروني الموجهة إلى الهدف والحساب وإرسالها إلى حساب يتحكم فيه المهاجم."
عالجت Microsoft المشكلة كجزء من تحديثات Patch الثلاثاء لشهر يوليو 2021.
تكمن مشكلة الأمان في ميزة تسمى المصادقة المفوضة ، والتي تشير إلى آلية يقوم بواسطتها موقع الويب للواجهة الأمامية - عميل الوصول إلى الويب في Outlook (OWA) - بتمرير طلبات المصادقة مباشرة إلى النهاية الخلفية عندما يكتشف وجود ملف تعريف ارتباط SecurityToken .
Microsoft Exchange ProxyToken
ومع ذلك ، نظرًا لأنه يجب تكوين Exchange بشكل خاص لاستخدام الميزة وإجراء عمليات التحقق من النهاية الخلفية ، فإنه يؤدي إلى سيناريو لا يتم فيه تحميل الوحدة النمطية التي تتعامل مع هذا التفويض ("التفويضات للوحدة") ضمن التكوين الافتراضي ، وبلغت ذروتها في تجاوز لأن النهاية الخلفية تفشل في مصادقة الطلبات الواردة بناءً على ملف تعريف الارتباط SecurityToken.
وأوضح سيمون زوكربراون من ZDI أن "النتيجة النهائية هي أن الطلبات يمكن أن تمر دون أن تخضع للمصادقة على الواجهة الأمامية أو الخلفية".
منع هجمات برامج الفدية
يضيف الكشف إلى قائمة متزايدة من نقاط الضعف في Exchange Server التي ظهرت للضوء هذا العام ، بما في ذلك ProxyLogon و ProxyOracle و ProxyShell ، والتي استغلت بنشاط من قبل الجهات الفاعلة في التهديد للاستيلاء على الخوادم غير المصححة ونشر قذائف الويب الضارة وتشفير ملفات الفدية مثل كملف LockFile .
بشكل مثير للقلق ، تم بالفعل تسجيل محاولات استغلال عشوائية لإساءة استخدام ProxyToken في وقت مبكر من 10 أغسطس ، وفقًا للباحث الأمني في مجموعة NCC ، ريتش وارين ، مما يجعل من الضروري أن يتحرك العملاء بسرعة لتطبيق التحديثات الأمنية من Microsoft.
المصادر:
- The Hacker News