Blog

ProxyToken, la nueva vulnerabilidad de Microsoft Exchange

Resumen Ejecutivo

Se ha estado comentando de una nueva vulnerabilidad de seguridad (que actualmente ya se encuentra parcheada) que afecta directamente a los servidores con las aplicaciones de Microsoft Exchange y que podría ser aprovechada por un atacante no autentificado para modificar las configuraciones del servidor, lo que llevaría a la divulgación de información personal, afectando de esta manera la confidencialidad e integridad del sistema.

La falla de seguridad registrada como CVE-2021-33766 (con una puntuación CVSS 3.0: 7.3/10.0) y denominado ProxyToken, fue descubierto por el investigador del Centro de Seguridad de la Información del Grupo de Correos y Telecomunicaciones de Vietnam (VNPT-ISC), Le Xuan Tuyen, y fue comunicado a través del programa Zero-Day Initiative (ZDI) en el mes de marzo.

La empresa responsable de Microsoft Exchange, lanzó una actualización para este problema como parte de sus actualizaciones julio del 2021.

La falla de seguridad reside en una característica llamada autenticación delegada, que se refiere a un mecanismo por el cual el sitio web del frontend (el cliente de acceso web de Outlook) pasa las solicitudes de autenticación directamente al backend cuando detecta la presencia de una cookie SecurityToken.

Sin embargo, dado que Microsoft Exchange tiene que estar configurado específicamente para utilizar la función y hacer que el backend para que realice las comprobaciones, se produce un escenario en el que el módulo que gestiona esta delegación (DelegatedAuthModule) no se carga en la configuración por defecto, lo que culmina en un bypass, ya que el backend no autentifica las solicitudes entrantes basándose en la cookie SecurityToken.

La revelación se suma a una creciente lista de vulnerabilidades de Exchange Server que han salido a la luz este año, como lo son:

  • ProxyLogon.
  • ProxyOracle.
  • ProxyShell.

Las cuales han sido explotadas activamente por los actores de amenazas para tomar el control de servidores que no se encuentren parcheados, desplegar webshells maliciosos y ransomwares para el cifrado de los archivos, como lo que ha estado haciendo la banda de Ransomware, LockFile.

Recomendaciones de Seguridad

Siga las recomendaciones de mitigación ofrecidas por Microsoft e instale los parches de seguridad disponibles desde:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33766

Más información

https://www.zerodayinitiative.com/blog/2021/8/30/proxytoken-an-authentication-bypass-in-microsoft-exchange-server

https://www.zerodayinitiative.com/advisories/ZDI-21-798/

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad