AGGIORNAMENTO 9/17 – Una firma IPS è stata rilasciata nelle definizioni (18.160) come “MS.Exchange.Server.SecurityToken.Authentication.Bypass” FortiGuard Labs è a conoscenza di una nuova divulgazione denominata PROXYTOKEN, che è un bypass di autenticazione nel server Microsoft Exchange . La vulnerabilità è stata segnalata dal ricercatore di sicurezza Le Xuan Tuyen della Zero Day Initiative (ZDI) nel marzo 2021 e corretta da Microsoft nella versione di luglio 2021. Assegnata CVE-2021-33766, questa vulnerabilità consente a un utente malintenzionato non autenticato di configurare azioni sulle cassette postali appartenenti a utenti arbitrari sul server di posta. Un esempio di questo utilizzo consente all’attore delle minacce di inoltrare tutte le email indirizzate a un utente arbitrario e di inoltrarle a un account controllato da un utente malintenzionato. Quali sono i dettagli tecnici di questa vulnerabilità? Il server Microsoft Exchange crea due siti di riferimento in IIS, uno in ascolto sulla porta 80 HTTP e l’altra porta 443 HTTPS. Queste pagine sono note come Exchange Front End e Exchange Back End viene eseguito rispettivamente sulla porta 81 HTTP e sulla porta 444 per HTTPS. Il front-end è essenzialmente un proxy per il back-end. Quando i moduli richiedono l’autenticazione, le pagine vengono servite tramite /owa/auth/logon/aspx. In sostanza, il problema risiede quando viene distribuita una funzionalità specifica di Exchange denominata “Autenticazione delegata”, il front-end non è in grado di eseguire l’autenticazione da solo e passa ogni richiesta direttamente al back-end e, in definitiva, si basa sul back-end per determinare se il richiesta è autenticata correttamente. Esiste una patch disponibile?Sì. Microsoft ha rilasciato patch per questo nella versione di luglio 2021. Stato della copertura I clienti che eseguono le definizioni più recenti sono protetti dalla seguente firma IPS: MS.Exchange.Server.SecurityToken.Authentication.BypassQuali prodotti sono interessati?Microsoft Exchange Server 2019, 2016 e 2013 sono interessati.Altre misure di mitigazione suggerite?Scollegare i server Exchange vulnerabili da Internet fino a quando non è possibile applicare una patch.A causa della facilità di interruzione e del potenziale danno alle operazioni quotidiane, alla reputazione e al rilascio indesiderato di informazioni di identificazione personale (PII), ecc., è importante mantenere aggiornate tutte le firme AV e IPS. È anche importante garantire che tutte le vulnerabilità note dei fornitori all’interno di un’organizzazione vengano affrontate e aggiornate per proteggersi dagli attacchi che stabiliscono un punto d’appoggio all’interno di una rete.
