Eine bislang unbekannte Lücke im Exchange Server - Proxy Token - umgeht die Authentifizierung für den Zugriff auf die Konfiguration eines Exchange-Kontos. Unter anderem ist es Angreifern damit möglich, eintreffende Mails eines Exchange-Nutzers auf ein anderes Konto umzuleiten. Die Lücke soll bereits im April von Microsoft geschlossen worden sein.

Bei einem Angriff signalisiert der Angreifer dem Exchange-Frontend, dass das Backend für die Authentifizierung zuständig wäre - eingesetzt wird dabei ein SecurityToken-Cookie. Es handelt sich um eine Funktion, welche insbesondere für die Anmeldung in komplexen Exchange-Installationen notwendig ist. Das hierzu benötigte DelegatedAuthModule-Modul wird von dem Backend in der Standard-Konfiguration jedoch nicht geladen. Stattdessen wird angenommen, dass das Frontend dies bereits mit der Authentifizierung erledigt hat - infolgedessen kann ein Angreifer seine Konfigurationsänderung einfach an das Backend geben.

Die Lücke wurde von dem vietnamesischen Sicherheitsforscher Le Xuan Tuyen entdeckt. Die Zero Day Initiative (ZDI), an die er die Lücke gemeldet hat, beschreibt das Problem in einem Blog-Beitrag ausführlicher. Die Lücke CVE-2021-33766 hatte Microsoft bereits mit den April-Updates für Exchange geschlossen. Ein diesbezüglicher Hinweis wurde jedoch erst am 24. August der Dokumentation hinzugefügt.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE