Origine: bjCSIRT

Numéro: 2021/ALERTE/038

Date de l’alerte: 02/09/2021

APERÇU :

La vulnérabilité, surnommée « ProxyToken », affectant Microsoft Exchange Server est une faille liée à la divulgation d’informations qui pourrait révéler les informations personnelles des victimes et les données sensibles de l’entreprise.

Ayant un impact grave, son exploitation permettrait à un attaquant non authentifié de modifier les configurations serveur, conduisant ainsi au vol des e-mails contenus dans les boîtes de réception et à la divulgation d’informations personnelles des utilisateurs.

DESCRIPTION :

Le défaut de sécurité de la vulnérabilité libellée CVE-2021-33766, réside dans une fonctionnalité de Microsoft Exchange appelée « Delegated Authentication », qui fait référence à un mécanisme par lequel le client Outlook Web Access (OWA) transmet les demandes d’authentification directement au backend lorsqu’il détecte la présence d’un cookie « SecurityToken ». Avec cette vulnérabilité, un attaquant non authentifié peut effectuer des actions de configuration sur des boîtes de messagerie appartenant à des utilisateurs arbitraires. L’objectif serait de copier tous les e-mails adressés à un compte ciblé et les transférer vers un compte contrôlé par l’attaquant.

Toutefois, l’exploitation de la vulnérabilité ProxyToken nécessite que chaque requête vers une page « /ecp » présente un ticket connu sous le nom de « ECP canary ». En l’absence de ce ticket, la requête reviendra avec une erreur « HTTP 500 ». Ainsi, la réponse d’erreur « HTTP 500 » accompagnée d’un ticket valide pourrait être utilisé pour émettre une requête non authentifiée.

IMPACT :

  • Compromission du serveur Exchange
  • Exposition de données sensibles

SYSTEMES AFFECTÉS :

  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019

MESURES À PRENDRE :

Il est fortement recommandé d’installer les mises à jour de sécurité de Juillet 2021 de Microsoft.

REFERENCES :

  • https://www.zerodayinitiative.com/blog/2021/8/30/proxytoken-an-authentication-bypass-in-microsoft-exchange-server
  • https://www.bleepingcomputer.com/news/security/microsoft-exchange-proxytoken-bug-can-let-hackers-steal-user-email/
  • https://thehackernews.com/2021/08/new-microsoft-exchange-proxytoken-flaw.html
  • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33766

Partagez sur vos réseaux.