{"id":257138,"date":"2021-08-30T16:33:28","date_gmt":"2021-08-30T14:33:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257138"},"modified":"2021-08-31T00:28:10","modified_gmt":"2021-08-30T22:28:10","slug":"exchange-server-authentifizierungs-bypass-mit-proxytoken","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/30\/exchange-server-authentifizierungs-bypass-mit-proxytoken\/","title":{"rendered":"Exchange Server: Authentifizierungs-Bypass mit ProxyToken"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/08\/30\/exchange-server-authentifizierungs-bypass-mit-proxytoken\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Im April 2021 hat Microsoft mit den kumulativen Updates eine Schwachstelle in seinen on-premises Exchange Servern beseitigt, \u00fcber die Angreifer ohne Authentifizierung die Konfigurierung ver\u00e4ndern konnten. So w\u00e4re es f\u00fcr einen nicht authentifizierten Angreifer m\u00f6glich gewesen, die Konfiguration f\u00fcr Postf\u00e4cher beliebiger Benutzer zu \u00e4ndern. Damit h\u00e4tten alle an ein E-Mail-Konto adressierten E-Mails kopiert und an ein vom Angreifer kontrolliertes Konto weitergeleitet werden k\u00f6nnen. Die Schwachstelle ist erst jetzt offen gelegt worden.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/0f239f46214543548475ab5c7ca7cd1c\" alt=\"\" width=\"1\" height=\"1\" \/>Entdeckt wurde die ProxyToken genannte Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-33766\" target=\"_blank\" rel=\"noopener\">CVE-2021-33766<\/a>, die einen CVE-Score von 6,5 aufweist, von Le Xuan Tuyen, einem vietnamesischen Sicherheitsforscher des VNPT ISC. Dieser hat das Ganze dann \u00fcber die <a href=\"https:\/\/www.zerodayinitiative.com\/blog\/2021\/8\/30\/proxytoken-an-authentication-bypass-in-microsoft-exchange-server\" target=\"_blank\" rel=\"noopener\">ZeroDay-Initiative<\/a> gemeldet, wie aus nachfolgendem <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1432334563762655234\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> hervorgeht.<\/p>\n<p><a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1432334563762655234\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/8GVvvfz.png\" \/><\/a><\/p>\n<p>Im ZDI-Blog-Beitrag wird die Schwachstelle detaillierter beschrieben. Microsoft Exchange erstellt zwei Websites in IIS, ein Frontend und ein Backend.<\/p>\n<ul>\n<li>Frontend: Dies ist die Standard-Website, die die Ports 80 f\u00fcr HTTP und 443 f\u00fcr HTTPS \u00fcberwacht und mit der sich alle Clients f\u00fcr den Webzugriff (OWA, ECP) sowie nach au\u00dfen gerichtete Webdienste verbinden.<\/li>\n<li>Backend: Das \"Exchange Back End\" \u00fcberwacht die Ports 81 f\u00fcr HTTP und 444 f\u00fcr HTTPS.<\/li>\n<\/ul>\n<p>Das Frontend fungiert als Proxy, welches Anfragen an das Backend weiter reicht. Um den Zugriff zu erm\u00f6glichen, der eine Formularauthentifizierung erfordert, stellt das Frontend Seiten wie \/owa\/auth\/logon.aspx zur Authentifizierung bereit. Bei allen Anfragen nach der Authentifizierung besteht die Hauptaufgabe des Frontends darin, die Anfragen neu zu verpacken und sie an die entsprechenden Endpunkte auf der Exchange-Backend-Site weiterzuleiten. Anschlie\u00dfend sammelt es die Antworten vom Back-End und leitet sie an den Client weiter.<\/p>\n<p>Problem ist, dass Exchange eine Funktion namens \"Delegierte Authentifizierung\" f\u00fcr die Cross-Forest Topologien unterst\u00fctzt. In solchen Bereitstellungen ist das Frontend nicht in der Lage, Authentifizierungsentscheidungen eigenst\u00e4ndig zu treffen. Stattdessen leitet das Frontend Anforderungen direkt an das Backend weiter und verl\u00e4sst sich darauf, dass das Backend feststellt, ob die Anforderung ordnungsgem\u00e4\u00df authentifiziert ist. Diese Anfragen, die mithilfe der Backend-Logik authentifiziert werden sollen, werden durch das Vorhandensein eines SecurityToken-Cookies identifiziert.<\/p>\n<p>Nun hat der Sicherheitsforscher Konstellationen gefunden, wo das Frontend anhand des SecurityToken-Cookie die Authentifizierung dieser Anfrage dem Backend \u00fcberl\u00e4sst. Das Backend wei\u00df in bestimmten Situationen aber nicht, dass es einige eingehende Anfragen auf der Grundlage des SecurityToken-Cookies authentifizieren muss, da das DelegatedAuthModule in Installationen, die nicht f\u00fcr die Verwendung der speziellen delegierten Authentifizierungsfunktion konfiguriert wurden, nicht geladen ist. Das Ergebnis ist, dass Anfragen durchgehen k\u00f6nnen, ohne dass sie einer Authentifizierung auf dem Front- oder Back-End unterzogen werden.<\/p>\n<p>Unter dem Strich h\u00e4tte ein nicht authentifizierten Angreifer die Konfigurierung der Postf\u00e4cher beliebiger Benutzer ver\u00e4ndern und dessen Mails an ein vom Angreifer kontrolliertes Konto weitergeleitet werden k\u00f6nnen. Das setzt aber voraus, dass der Angreifer Kontrolle \u00fcber das Zielkonto auf dem Exchange Server hat. Die komplexeren Details lassen sich im <a href=\"https:\/\/www.zerodayinitiative.com\/blog\/2021\/8\/30\/proxytoken-an-authentication-bypass-in-microsoft-exchange-server\" target=\"_blank\" rel=\"noopener\">ZDI-Blog-Beitrag<\/a> nachlesen. Die Schwachstelle wurde im M\u00e4rz 2021 vom Sicherheitsforscher Le Xuan Tuyen der ZDI gemeldet, die das Ganze an Microsoft weitergereicht hat.<\/p>\n<p>Die Schwachstelle wurde dann laut ZDI im Juni 2021 durch die Exchange CUs (Cumulative Updates) geschlossen. Microsoft hat in den betreffenden Supportartikeln\u00a0 selbst (siehe meinen Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/06\/29\/kumulative-exchange-updates-juni-2021-verffentlicht\/\">Kumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a>) keine Details genannt.<\/p>\n<p>Allerdings gibt es <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-july-2021-exchange-server-security-updates\/bc-p\/2546942\/highlight\/true#M30813\" target=\"_blank\" rel=\"noopener\">diesen Kommentar<\/a> von Microsoft-Mitarbeiter <span class=\"\">Nino Bilic, der darauf hinweist, dass <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-33766\" target=\"_blank\" rel=\"noopener\">CVE-2021-33766<\/a> bereits im April 2021 beseitigt wurde.\u00a0<\/span>Die Schwachstelle unterstreicht wieder einmal, wie wichtig es ist, seine Exchange Server-Installationen auf dem neuesten Patchstand zu halten.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2021\/07\/14\/sicherheitsupdates-fr-exchange-server-juli-2021\/\">Sicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/06\/29\/kumulative-exchange-updates-juni-2021-verffentlicht\/\">Kumulative Exchange Updates Juni 2021 ver\u00f6ffentlicht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/14\/exchange-server-security-update-kb5001779-13-april-2021\/\">Exchange Server Security Update KB5001779 (13. April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/06\/wichtige-hinweise-microsofts-und-des-bsi-zum-exchange-server-sicherheitsupdate-mrz-2021\/\">Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/05\/exchange-probleme-mit-ecp-nach-sicherheitsupdate-mrz-2021\/\">Exchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/17\/exchange-sicherheitsupdates-von-juli-2021-zerschieen-ecp-und-owa\/\">Exchange Sicherheitsupdates von Juli 2021 zerschie\u00dfen ECP und OWA<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/13\/exchange-2016-2019-outlook-probleme-durch-amsi-integration\/\">Exchange 2016\/2019: Outlook-Probleme durch AMSI-Integration<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/22\/angriffswelle-fast-2-000-exchange-server-ber-proxyshell-gehackt\/\">Angriffswelle, fast 2.000 Exchange-Server \u00fcber ProxyShell gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/28\/exchange-server-2016-2019-benutzerdefinierte-attribute-in-ecp-nach-cu-installation-juli-2021-nicht-mehr-aktualisierbar\/\">Exchange Server 2016-2019: Benutzerdefinierte Attribute in ECP nach CU-Installation (Juli 2021) nicht mehr aktualisierbar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Im April 2021 hat Microsoft mit den kumulativen Updates eine Schwachstelle in seinen on-premises Exchange Servern beseitigt, \u00fcber die Angreifer ohne Authentifizierung die Konfigurierung ver\u00e4ndern konnten. So w\u00e4re es f\u00fcr einen nicht authentifizierten Angreifer m\u00f6glich gewesen, die Konfiguration f\u00fcr Postf\u00e4cher &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/08\/30\/exchange-server-authentifizierungs-bypass-mit-proxytoken\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[5359,4328],"class_list":["post-257138","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257138","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257138"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257138\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257138"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257138"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257138"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}