大同腾讯企业邮箱，微软Exchange新漏洞ProxyToken可以让攻击者重新配置邮箱

微软Exchange新倾向ProxyToken可能让侵略者重新配置装备部署邮箱  邮箱网    1486次浏览  2021年09月02日 星期四 09:32 邮箱网讯 9月2日新闻 无关影响 Microsoft Exchange Server 的现已经修补的清静倾向的详细信息已经泛起，未经身份验证的侵略者可能运用该倾向更正效率器配置装备部署，从而导致总体身份信息 (PII) 的激进。 该倾向被追踪为CVE-2021-33766（CVSS 评分：7.3）并命名为“ ProxyToken ”，由越南邮电总体信息清静中间 (VNPT-ISC) 的钻研员 Le Xuan Tuyen 发现，并陈说经由 2021 年 3 。月的零日妄想 (ZDI) 妄想。 “运用这个倾向，未经身份验证的侵略者可能对于属于恣意用户的邮箱实施配置装备部署操作，”ZDI周一展现。“作为影响的例证，这可用于复制发送到目的以及帐户的所有大同电子邮件，并将它们转发到由侵略者操作的帐户。” 微软在2021 年 7 月的星期二补钉更新中处置了这个下场。 清静缺陷在于一项称为拜托身份验证的功能，该功能指的是一种机制，即前端网站——Outlook Web 碰头 (OWA) 客户端——在检测到存在 SecurityToken cookie 时将身 份验证恳求直接传递给后端. 可是，由于必需特意配置装备部署 Exchange 以运用该功能并让后端实施魔难，因此会导致在默认配置装备部署下未加载处置此拜托的模块（“DelegatedAuthModule”）的情景，*终在绕过中，由于后端无奈凭证 SecurityToken cookie 对于传入恳求妨碍身份验证。 “*开幕果是恳求可能顺遂经由，而无需在前端或者后端妨碍身份验证，”ZDI 的 Simon Zuckerbraun 批注说。 这一吐露削减了往年曝光的越来越多的 Exchange Server 倾向，搜罗ProxyLogon、ProxyOracle以及ProxyShell，这些倾向已经被劫持行动者自动运用来接管未修补的效率器、部署恶意 web shell 以及文件加密敲诈软件好比LockFile。 Troublingly，在*狂野运用妄想滥用ProxyToken已经被记实，早在8月10日，凭证到NCC Group的清静钻研员富沃伦，使其成为兵临城下是客户快捷行动，从微软运用清静更新。 标签:Exchange微软倾向