小心 Email 遭监听!微软 Exchange 出现新“ProxyToken”重大漏洞



继 3 月出现“ProxyLogon”漏洞之后,微软 Exchange 又再度出现名为“ProxyToken”(CVE-2021-33766)的全新重大安全漏洞,未经身份认证的攻击者能透过这个漏洞,存取并窃取目标受害者的邮件。 

微软 Exchange“ProxyLogon”漏洞是由越南邮件电信集团资安中心(VNPT-ISC)研究人员 Le Xuan Tuyen 发现,并通报给趋势科技的零时差计划(Zero Day Initiative,ZDI)。

微软 Exchange 基本上采用两个网站,一为供使用者连接以便存取邮件的前端网站,一为负责身份认证机制的后端网站。根据趋势科技 ZDI 计划官网于 8 月 30 日针对该漏洞所发布的贴文指出,前端网站基本上只做为后端的代理之用,其主要角色在于将所有身份认证后的请求重新打包,并将他们代理到后端网站上的相应端点,接着系统会搜集来自后端的回应,再将这些回应转发给用户端。

问题全出在所谓“委托身份认证”(Delegated Authentication)上,该机制会让前端直接将身份认证请求发送给后端。这些请求会包含一个 Security Token cookie 以辨识他们,换言之,一旦前端发现一个名为 Security Token 的非空 cookie 时,就会将身份认证委托给后端进行。在预设配置的情况下,并不会载入专门负责委托认证的模组(DelegatedAuthModule),必须对 Exchange 进行专门的配置,才能让后端执行这个身份认证检查作业。

所以,凡是没有进行专门的配置,后端完全不会知道它必须基于 Security Token cookie 来对传入的请求进行身份认证。如此一来,结果会是,这些请求能在不需于前端或后端进行身份认证的情况下顺利通过。

针对这个漏洞,微软已在 7 月 Exchange 累积更新中进行修补,还未更新的企业组织应尽快进行更新,以避免不必要的安全风险。

  • Microsoft Exchange ‘ProxyToken’ Bug Allows Email Snooping

(首图来源:Microsoft)

2021-09-02 07:54:00
标签:   资讯头条 kotoo科技资讯 kotoo科技 kotoo科技资讯头条 科技资讯头条 KOTOO商业产经 新闻网 科技新闻网 科技新闻 Kotoo科技新闻网 Kotoo Kotoo科技新闻网 科技新闻 科技新闻网 KOTOO商业产经 科技资讯头条 kotoo科技资讯头条 kotoo科技 kotoo科技资讯 资讯头条 Kotoo Kotoo科技新闻网 科技新闻 科技新闻网 新闻网 KOTOO商业产经 科技资讯头条 kotoo科技资讯头条 kotoo科技 kotoo科技资讯
返回顶部
跳到底部

Copyright 2011-2024 南京追名网络科技有限公司 苏ICP备2023031119号-6 乌徒帮 All Rights Reserved Powered by Z-BlogPHP Theme By open开发

请先 登录 再评论,若不是会员请先 注册