Microsoft Exchange ProxyToken Zafiyeti, E-posta Hırsızlığına Yol Açıyor

Microsoft Exchange Server’da ortaya çıkan ve ProxyToken olarak adlandırılan zafiyet ile kimlik doğrulama yapmaksızın epostaların sızdırılabileceği belirtildi. Saldırganlar ECP üzerinden istekler oluşturarak hedef mailbox’un gelen kutusundan iletileri çalabiliyorlar.

CVE-2021-33766 olarak takip edilebilen zafiyet ile kimlik doğrulaması yapmadan bir e-postanın iletme ayarları ve diğer seçenekleride dahil olmak üzere bir çok ayarın yapılmasına izin verebiliyor. Sonuç olarak saldırgan kurbana gelen mailleri kendine yönlendirebiliyor.

Zafiyet Information Security Center of Vietnam Posts and Telecommunications Group ( VNPT-ISC ) Bilgi Güvenliği Merkezi’nden araştırmacı olan Le Xuan Tuyen tarafından keşfedildi ve Mart ayında Zero-Day Initiative (ZDI) programı aracılığıyla rapor edildi .

Zafiyet nasıl ortaya çıkıyor

ProxyToken güvenlik açığından yararlanmak, /ecp sayfası istekleri, bir HTTP 500 hatası tetiklendiğinde elde edilebilecek “ECP canary” olarak bilinen bir bilete ihtiyaç duyar. Güvenlik açığı kritik olarak nitelendirilmiyor bunun nedeni, saldırganın kurbanla aynı Exchange sunucusunda bir hesaba ihtiyacı olması. NIST, önem derecesini 10 üzerinden 7,5 olarak puanlamış durumda.

Aşağıdaki örnek bir saldırganını girişimini gösteriyor.

İstismar girişimleri görüldü

NCC Group’un kırmızı ekip üyesi Rich Warren’a göre , 10 Ağustos’ta daha fazla sayıda sömürü girişimi gördü.

Microsoft, yayınlanan güncellemelerin zaman kaybetmeden uygulanması konusunda kullanıcılarını uyarıyor.

Bir kullanıcının gelen kutusu kurallarını değiştirmeye yönelik genel girişimleri tespit etmek için aşağıdaki sorgular kullanılabilir.

index=* sourcetype="ms:iis:auto" cs_method="POST" cs_uri_stem="/ecp/*/RulesEditor/InboxRules.svc/NewObject" msExchEcpCanary

veya

index=* sourcetype="ms:iis:auto" cs_method="POST" cs_uri_stem="/ecp/*/RulesEditor/InboxRules.svc/NewObject" cs_cookie="SecurityToken*" msExchEcpCanary

Kaynak: bleepingcomputer.com

Exit mobile version