Lỗ hổng ProxyToken có thể sửa đổi cấu hình máy chủ Exchange

Nếu lỗ hổng ProxyShell chưa đủ là lý do cho các quản trị viên áp dụng các bản cập nhật bảo mật của Microsoft Exchange vào tháng 7 năm 2020, thì có một lỗi bảo mật lớn thứ hai trong các bản cập nhật đó có thể cho phép các vụ tấn công khác nghiêm trọng hơn.

ProxyToken, lỗ hổng bảo mật cho phép kẻ tấn công bỏ qua các thao tác xác thực và thực hiện các thay đổi cấu hình backend của máy chủ email Exchange.

Le Xuan Tuyen, chuyên gia nghiên cứu bảo mật tại Việt Nam của VNPT ISC, phát hiện ra ProxyToken có thể được sử dụng để lén lút thêm các cấu hình email forwarding vào email của người bị tấn công, vì vậy tất cả các email được gửi đến mail box của nạn nhân cũng sẽ được chuyển tiếp đến email của hacker.

Qua chương trình Zero-Day Initiative, chuyên gia cho biết lỗ hổng bảo mật tồn tại do hai vấn đề:

Các HTTP request chứa cookie có tên “SecurityToken” được chuyển hướng từ frontend đến backend không được xác thực.
Lỗi HTTP 500 hiển thị mã thông tin token.

Với việc kết hợp cả hai, chuyên gia Le Xuan Tuyen cũng nói rằng một cuộc tấn công ProxyToken có thể xảy ra và những kẻ tấn công có thể dễ dàng sử dụng bất kỳ các tính năng nào của máy chủ Exchange mà không qua chứng thực, bao gồm cả việc sửa cài đặt người dùng Email Exchange.

May mắn, các lỗi bảo mật trên đã được vá vào tháng 7 năm 2021 với mã định danh CVE-2021-33766.

Thông tin chi tiết về cuộc tấn công này dự kiến sẽ được công bố vào cuối ngày hôm nay trên blog Zero-Day, các quản trị viên máy chủ rất mong đợi điều này.

Ngoài ra, rất nhiều cuộc tấn công khác đến máy chủ email Microsoft Exchange đã diễn ra vào tháng trước sau khi lỗ hỗng ProxyShell được công bố công khai trên mạng internet.

Chia sẻ bài viết này