Fecha de publicación: Mié, 01/09/2021 - 11:32

Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción

Microsoft ha reportado la corrección de una vulnerabilidad en Exchange Server detectada a inicios de 2021 y cuya explotación habría permitido a los actores de amenazas establecer reglas de reenvío en las cuentas afectadas, lo que eventualmente permitiría el acceso a los correos entrantes. Conocida como ProxyToken e identificada como CVE-2021-33766, la falla recibió un puntaje de 7.5/10 según el Common Vulnerability Scoring System (CVSS versión 3).

La falla reside en una función llamada Autenticación delegada, que se refiere a un mecanismo mediante el cual el sitio web de front-end, el cliente de acceso web de Outlook (OWA), pasa las solicitudes de autenticación directamente al back-end cuando detecta la presencia de una cookie SecurityToken.

 

ProxyToken

 

Con esta vulnerabilidad, un atacante no autenticado puede realizar acciones de configuración en los buzones que pertenecen a usuarios arbitrarios, esto se puede usar para copiar todos los correos electrónicos dirigidos a un objetivo y una cuenta y reenviarlos a una cuenta controlada por el atacante.

Recursos afectados

Exchange Server

Solución

Microsoft como parte de las actualizaciones de julio ha publicado los parches correspondientes:

Recomendaciones

Aunque los detalles técnicos de la vulnerabilidad fueron conocidos recientemente, los intentos de explotación se registraron hace tres semanas. De acuerdo al red teamer Rich Warren para NCC Group, vio más intentos de explotación el 10 de agosto.

Es imperativo que las organizaciones e instituciones apliquen las actualizaciones de seguridad lo antes posibles.

Fuente/Referencias

The Hackers News

Microsoft Exchange Information Disclosure Vulnerability