Er zijn details openbaar gemaakt van een kwetsbaarheid in Microsoft Exchange waardoor het mogelijk is voor een ongeauthenticeerde aanvaller om inkomende e-mails te stelen. De kwetsbaarheid wordt aangeduid als ProxyToken en CVE-2021-33766 en werd vorige maand door Microsoft gepatcht.

Door de kwetsbaarheid kan een aanvaller de configuratie van mailboxes van willekeurige gebruikers aanpassen en een doorstuurregel aanmaken waardoor inkomende e-mails naar een e-mailaccount van de aanvaller worden doorgestuurd. Exchange kent een frontend en een backend. De frontend fungeert vooral als proxy voor de backend. Verzoeken worden doorgestuurd naar de backend en de respons van de backend stuurt de frontend weer naar de gebruiker.

Exchange ondersteunt een feature genaamd "delegated authentication” waarbij de frontend aan de backend overlaat of een request wel geauthenticeerd is. Deze requests zijn voorzien van een zogeheten SecurityToken-cookie. Wanneer de speciale module voor delegated authentication niet is geladen, weet de backend niet dat het bepaalde inkomende requests moet authenticeren. Zodoende kan een request zonder enige authenticatie door de frontend en backend komen.

Verder moet elk request naar een Exchange Control Panel (ECP)-pagina van een geldig ticket zijn voorzien, wat een ECP-canary wordt genoemd. Zonder deze canary komt er een HTTP 500-foutmelding. Deze foutmelding is echter voorzien van een geldige canary die voor de aanval kan worden gebruikt en het toevoegen van de doorstuurregel mogelijk maakt. Organisaties wordt aangeraden de beveiligingsupdate van 13 juli te installeren.

"Exchange Server blijft een ongelooflijk rijke voedingsbodem voor beveiligingsonderzoek. Dit komt door de enorme complexiteit van het product, zowel qua features als architectuur", zegt Simon Zuckerbraun van het Zero Day Initiative, dat de details van de kwetsbaarheid vandaag openbaar maakte.