Eine bislang unbekannte Lücke im Exchange Server - Proxy Token
- umgeht die Authentifizierung für den Zugriff auf die Konfiguration
eines Exchange-Kontos. Unter anderem ist es Angreifern damit möglich,
eintreffende Mails eines Exchange-Nutzers auf ein anderes Konto
umzuleiten. Die Lücke soll bereits im April von Microsoft
geschlossen worden sein.
Bei einem Angriff signalisiert der Angreifer dem Exchange-Frontend,
dass das Backend für die Authentifizierung zuständig wäre
- eingesetzt wird dabei ein SecurityToken-Cookie. Es handelt sich
um eine Funktion, welche insbesondere für die Anmeldung in
komplexen Exchange-Installationen notwendig ist. Das hierzu benötigte
DelegatedAuthModule-Modul wird von dem Backend in der Standard-Konfiguration
jedoch nicht geladen. Stattdessen wird angenommen, dass das Frontend
dies bereits mit der Authentifizierung erledigt hat - infolgedessen
kann ein Angreifer seine Konfigurationsänderung einfach an
das Backend geben.
Die Lücke wurde von dem vietnamesischen Sicherheitsforscher
Le Xuan Tuyen entdeckt. Die Zero Day Initiative (ZDI), an die er
die Lücke gemeldet hat, beschreibt das Problem in
einem Blog-Beitrag ausführlicher. Die Lücke CVE-2021-33766
hatte Microsoft bereits mit den April-Updates
für Exchange geschlossen. Ein diesbezüglicher Hinweis
wurde jedoch erst am 24. August der Dokumentation hinzugefügt.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|