به تازگی جزئیات فنی آسیب‌پذیری خطرناکی در Exchange  با نام ProxyToken منتشر شده است که سوءاستفاده از آن، دستیابی به ایمیل‌های حساب کاربری سازمان را بدون احراز هویت امکان‌پذیر می‌سازد.
به گزارش مرکز مدیریت راهبردی افتا، مهاجم می‌تواند با ارسال درخواستی به سرویس‌های وب موجود از طریق Exchange Control Panel  به‌اختصار ECP اقدام به سوء‌استفاده از این آسیب‌پذیری کرده و پیام‌های موجود در صندوق دریافتی (Inbox) کاربران را سرقت کند.
ProxyToken که با شناسه CVE-۲۰۲۱-۳۳۷۶۶ شناخته می‌شود، بدون احراز هویت، امکان دسترسی به تنظیمات پیکربندی صندوق‌های پستی کاربران را برای مهاجم فراهم می‌کند. جایی که می‌تواند قواعد Email Forwarding را نیز تعریف کند و در جریان آن پیام‌های ارسالی به ایمیل کاربران موردنظر نیز به حسابی که تحت کنترل مهاجم است، ارسال می‌شود.
این باگ توسط یک محقق ویتنامی کشف شده است و از طریق Zero-Day Initiative به‌اختصار ZDI در ماه مارس گزارش شده است. بخش‌های Front End سرور Exchange شامل Outlook Web Access و Exchange Control Panel، عمدتاً به‌عنوان یک پروکسی برای Back End سرور (Exchange Back End) عمل، و درخواست‌های احراز هویت را به آن ارسال می‌کند.

 در زمان نصب Exchange، اگر قابلیت “Delegated Authentication” (احراز هویت تفویض شده) فعال شده باشد، Front End درخواست‌هایی را که نیاز به احراز هویت دارند به Back End ارسال می‌کند و آنها را با یک کوکی از نوع توکن امنیتی (SecurityToken) مشخص می‌کند.
وقتی در درخواست این کوکی که از نوع توکن امنیتی (SecurityToken) است، “/ecp” وجود داشته باشد، Front End فرایند احراز هویت را به Back End واگذار می‌کند. بااین‌حال، پیکربندی پیش‌فرض Exchange در ECP و ماژولی که مسئول واگذاری اعتبارسنجی (DelegatedAuthModule) است، بارگذاری نمی‌شود.
سوء‌استفاده از آسیب‌پذیری ProxyToken در این مرحله انجام نمی‌شود و به اقدام دیگری نیاز دارد: ارسال درخواست به صفحه /ecp مستلزم تیکتی به نام “ECP canary” است که هنگام فعال‌کردن خطای HTTP ۵۰۰ قابل دریافت است. بررسی بیشتر نشان می‌دهد اگر درخواستی فاقد این تیکت که منجر به خطای HTTP ۵۰۰ می‌شود، باشد، رشته اعتبار لازم را برای اجرای موفقیت‌آمیز یک درخواست احراز هویت نشده ندارد.
به طور خلاصه، هنگامی که Front End یک کوکی از نوع توکن امنیتی (SecurityToken) را مشاهده می‌کند، می‌داند که تنها Back End مسئول احراز هویت درخواست است. باتوجه‌به توکن امنیتی دریافتی، Back End کاملاً از احراز هویت درخواست‌های ورودی بی‌اطلاع است، زیرا هنوز (DelegatedAuthModule) که قابلیت واگذاری اعتبارسنجی را تنظیم (پیکربندی) می‌کند بارگذاری نشده است.

  بر اساس توصیه‌نامه امنیتی منتشر شده توسط شرکت مایکروسافت (Microsoft Corp)، یک وصله دراین‌خصوص در ماه ژوئیه در دسترس عموم قرار گرفته است. این آسیب‌پذیری  “حیاتی” (Critical) نیست و شدت این ضعف امنیتی ۷,۵ از ۱۰ گزارش شده است، زیرا مهاجم نیاز به یک حساب کاربری در همان سرور Exchange قربانی دارد. تصویر زیر نمونه‌ای از درخواست یک مهاجم جهت سوءاستفاده از این ضعف امنیتی را نمایش می‌دهد:

 در یکی از پست‌های وبلاگ Zero-Day Initiative اشاره شده است که برخی از راهبران یک پیکربندی سراسری (Global) برای سرور Exchange تعیین می‌کنند که منجر به ایجاد قواعد ارسال ایمیل به مقاصد دلخواه می‌شود. در چنین مواردی، مهاجم نیازی به اعتبارسنجی و احراز هویت ندارد.

 اگرچه اخیراً جزئیات فنی ProxyToken به‌صورت عمومی منتشر شده، اما تلاش‌هایی برای سوءاستفاده از این ضعف امنیتی از سه هفته گذشته گزارش شده است. به‌گونه‌ای که به نقل از یکی از محققان امنیتی، در ۲۸ مردادماه، تلاش‌های فراوانی جهت سوءاستفاده از این ضعف امنیتی مشاهده شده است.
توصیه می‌شود راهبران سرورهای Exchange، نصب آخرین اصلاحیه‌های امنیتی و به‌روزرسانی‌های موسوم به Cumulative Update به‌اختصار CU را جهت ایمن ماندن از گزند حملات مبتنی بر ضعف‌های امنیتی Exchange نظیر ProxyShell و ProxyToken در اولویت خود قرار دهند.

منبع:

https://www.bleepingcomputer.com/news/security/microsoft-exchange-proxytoken-bug-can-let-hackers-steal-user-email