افشای آسیب‌پذیری دیگری در سرورهای Exchange

اخیراً جزئیات فنی آسیب‌پذیری خطرناکی در سرورهای Exchange با نام ProxyToken منتشر شده که سوءاستفاده از آن، دستیابی به ایمیل‌های حساب کاربری سازمان را بدون احراز هویت امکان‌پذیر می‌سازد.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، جزئیات آسیب‌پذیری مذکور و نحوه سوءاستفاده از آن ارائه شده است.

مهاجم می‌تواند با ارسال درخواستی به سرویس‌های وب موجود از طریق Exchange Control Panel – به اختصار ECP –  اقدام به سوء‌استفاده از این آسیب‌پذیری نموده و پیام‌های موجود در صندوق دریافتی (Inbox) کاربران را سرقت کند.

ProxyToken که با شناسه CVE-2021-33766 شناخته می‌شود، بدون احراز هویت، امکان دسترسی به تنظیمات پیکربندی صندوق‌های پستی کاربران را برای مهاجم فراهم می‌کند. جایی که می‌تواند قواعد Email Forwarding را نیز تعریف کند و در جریان آن پیام‌های ارسالی به ایمیل کاربران مورد نظر  نیز به حسابی که تحت کنترل مهاجم است، ارسال می‌شود.

این باگ توسط یک محقق ویتنامی کشف شده و از طریق Zero-Day Initiative – به اختصار ZDI – در ماه مارس گزارش شده است. بخش‌های  Front End سرور Exchange شامل Outlook Web Access و Exchange Control Panel، عمدتاً به عنوان یک پروکسی برای Back End سرور (Exchange Back End) عمل می‌کند و درخواست‌های احراز هویت را به آن ارسال می‌کند.

در زمان استقرار Exchange، اگر قابلیت “Delegated Authentication” (احراز هویت تفویض شده) فعال شده باشد، Front End درخواست‌هایی را که نیاز به احراز هویت دارند به Back End ارسال می‌کند و آنها را با یک کوکی از نوع توکن امنیتی (SecurityToken) مشخص می‌کند.

وقتی در درخواست کوکی مذکور که از نوع توکن امنیتی (SecurityToken) است، “ecp/” وجود داشته باشد، Front End فرآیند احراز هویت را به Back End واگذار می‌کند. با این حال، پیکربندی پیش فرض Exchange در ECP و ماژولی که مسئول واگذاری اعتبارسنجی (DelegatedAuthModule) است، بارگذاری نمی‌شود.

سوء‌استفاده از آسیب‌پذیری ProxyToken در این مرحله انجام نمی‌شود و به اقدام دیگری نیاز دارد: ارسال درخواست به صفحه ecp/ مستلزم تیکتی به نام “ECP canary” است که هنگام فعال کردن خطای HTTP 500 قابل دریافت است. بررسی بیشتر نشان می‌دهد اگر درخواستی فاقد تیکت مذکور که منجر به خطای HTTP 500 می‌شود، باشد، رشته معتبر لازم را برای اجرای موفقیت‌آمیز یک درخواست احراز هویت نشده  ندارد.

به طور خلاصه، هنگامی که Front End یک کوکی از نوع توکن امنیتی (SecurityToken) را مشاهده می‌کند، می‌داند که تنها Back End مسئول احراز هویت درخواست است. با توجه به توکن امنیتی دریافتی، Back End کاملاً از احراز هویت درخواست‌های ورودی بی‌اطلاع است، زیرا هنوز DelegatedAuthModule، که قابلیت واگذاری اعتبارسنجی را پیکربندی می‌کند، بارگذاری نشده است.

بر اساس توصیه‌نامه امنیتی منتشر شده توسط شرکت مایکروسافت (Microsoft Corp)، یک وصله در این خصوص در ماه ژوئیه در دسترس عموم قرار گرفته است. آسیب‌پذیری مذکور “حیاتی” (critical) نیست و شدت این ضعف امنیتی 7.5 از 10 گزارش شده است، زیرا مهاجم نیاز به یک حساب کاربری در همان سرور Exchange قربانی دارد. تصویر زیر نمونه‌ای از درخواست یک مهاجم جهت سوءاستفاده از این ضعف امنیتی را نمایش می‌دهد:

در یکی از پست‌های وبلاگ Zero-Day Initiative اشاره شده است که برخی از راهبران یک پیکربندی سراسری (Global) برای سرور Exchange تعیین می‌کنند که منجر به ایجاد قواعد ارسال ایمیل به مقاصد دلخواه می‌شود. در چنین مواردی، مهاجم نیازی به اعتبارسنجی و احراز هویت ندارد.

اگرچه اخیراً جزئیات فنی ProxyToken به صورت عمومی منتشر شده، اما تلاش‌هایی جهت سوءاستفاده از این ضعف امنیتی از سه هفته گذشته گزارش شده است. به گونه‌ای که به نقل از یکی از محققان امنیتی، در 28 مرداد ماه، تلاش‌های فراوانی جهت سوءاستفاده از این ضعف امنیتی مشاهده شده است.

توصیه می‌شود راهبران سرورهای Exchange، نصب آخرین اصلاحیه‌های امنیتی و به‌روزرسانی‌های موسوم به Cumulative Update – به اختصار CU – را جهت ایمن ماندن از گزند حملات مبتنی بر ضعف‌های امنیتی Exchange نظیر ProxyShell‌ و ProxyToken در اولویت خود قرار دهند.