Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Vulnerabilidad ProxyToken en Microsoft Exchange puede permitir atacantes leer tus correos electrónicos




La vulnerabilidad crítica llamada ProxyToken es el nuevo fallo en Exchange. Solo se necesita una cookie con valor “SecurityToken=x”, provocar un  error 500 y se permite acceso a la configuración del inbox de cualquier usuario.


ProxyToken es una vulnerabilidad grave en Microsoft Exchange Server que podría permitir que atacantes no autenticados accedan a correos electrónicos desde una cuenta objetivo.

Los detalles técnicos de una vulnerabilidad grave en Microsoft Exchange Server, denominada ProxyToken (CVE-2021-33766), se revelaron públicamente. Un atacante no autenticado podría aprovechar el problema para acceder a los correos electrónicos de una cuenta de destino.

Aunque se parcheó en julio, ahora han salido los detalles de CVE-2021-33766, o ProxyToken en Exchange, que se une a la mala racha reciente de este sistema en cuestión de vulnerabilidades. Permite robar información del inbox de cualquier usuario y resulta muy sencilla de explotar con un POST donde viaje el correo de la víctima y una cookie con valor “SecurityToken=x”.

En Exchange se crean puertos 80 y 443 para su front end y 81 y 444 para su back end al que redirige esperando que resuelva la autenticación delegada si ve el SecurityToken no vacío. Pero por algún motivo, el back end (el ECP, Exchange control panel) deja pasar todo lo que le llegue con el SecurityToken no vacío porque el módulo DelegatedAuthModule que debería encargarse de autenticar, no se carga por defecto.

Para explotarlo el atacante debe conocer además un “ECP canary”, que es como una cookie de sesión. Pero cuando se intenta atacar el sistema devuelve un 500 con un valor válido que se puede reinyectar junto con la cookie “SecurityToken=x” y modificar la configuración del Exchange.



ProxyToken: vulnerabilidad crítica

El atacante puede desencadenar la falla enviando una solicitud especialmente diseñada a los servicios web dentro de la aplicación Exchange Control Panel (ECP) y acceder a los mensajes desde la bandeja de entrada de la víctima. Podría aprovechar el problema para acceder a la configuración del buzón y configurar una regla de reenvío de correo electrónico para recibir los mensajes enviados a las víctimas.

Como requisito previo para el ataque, el atacante debe tener una cuenta en el mismo servidor de Exchange que la víctima.

La vulnerabilidad fue descubierta por Le Xuan Tuyen del Centro de Seguridad de la Información del Grupo de Correos y Telecomunicaciones de Vietnam (VNPT-ISC) en marzo.

Los expertos notaron que Outlook Web Access y el Panel de control de Exchange pasan las solicitudes de autenticación al Back End de Exchange.

ECP canary

Los expertos notaron que para desencadenar el problema, se requiere que cada solicitud a una página / ecp tenga un ticket conocido como el "canario ECP". En ausencia del canario, la solicitud volverá con un HTTP 500. Sin embargo, los investigadores notaron que la respuesta de error 500 va acompañada de un canario válido que podría usarse para emitir una solicitud no autenticada.

Microsoft ha abordado la falla de ProxyToken en julio, ha sido calificado con una puntuación CVSS de 7.5 porque podría ser explotado por un atacante con una cuenta en el mismo servidor de Exchange que la víctima.

ProxyShell

Casi 2.000 servidores de correo electrónico de Microsoft Exchange han sido hackeados en los últimos días y se han infectado con backdoor porque los propietarios no instalaron parches para una colección de vulnerabilidades conocidas como ProxyShell.

Descubierto por el investigador de seguridad taiwanés Orange Tsai, ProxyShell es una colección de tres fallas de seguridad diferentes que se pueden utilizar para tomar el control de los servidores de correo electrónico de Microsoft Exchange. Éstos incluyen:

  • CVE-2021-34473 proporciona un mecanismo para la ejecución remota de código previo a la autenticación, lo que permite a los actores malintencionados ejecutar código de forma remota en un sistema afectado.
  • CVE-2021-34523 permite que los actores malintencionados ejecuten código arbitrario después de la autenticación en los servidores de Microsoft Exchange debido a una falla en el servicio PowerShell que no valida adecuadamente los tokens de acceso.
  • CVE-2021-31207 permite a los actores malintencionados posteriores a la autenticación ejecutar código arbitrario en el contexto de SYSTEM y escribir archivos arbitrarios.

En el gran esquema de las cosas, ProxyShell es parte de un trío de cadenas de ataque que Tsai ha descubierto y creado durante el año pasado desde que comenzó a buscar vulnerabilidades en los servidores de Microsoft Exchange a mediados de 2020:

  • ProxyLogon
  • ProxyOracle
  • ProxyShell
Proxyshell, tres vulnerabilidades (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que nos conseguían lo propio, otro bonito RCE.  

Tsai usó el exploit ProxyShell durante el concurso de hacking Pwn2Own 2021 en abril de este año, donde ganó U$S 200.000 por un compromiso exitoso del servidor.

Más de 30.400 servidores Exchange expuestos a ataques

Después de su sesión, los detalles sobre el exploit se compartieron de inmediato con Microsoft, y la compañía parcheó las tres vulnerabilidades en mayo y julio de este año. Pero al igual que con las divulgaciones de ProxyLogon y ProxyOracle en marzo y abril de este año, no todos los administradores de servidores se apresuraron a parchear los sistemas vulnerables.

Un escaneo realizado el 8 de agosto por ISC SANS, dos días después de la publicación del código de prueba de concepto de ProxyShell, encontró que más de 30.400 servidores Exchange de un total de 100.000 sistemas aún no se habían parcheado y seguían siendo vulnerables a los ataques.

Más de 1.900 servidores Exchange ya hackeados

La explotación inicial comenzó con análisis de sistemas vulnerables, que luego se convirtieron en ataques reales durante el pasado fin de semana, según los registros de honeypot recopilados por los investigadores de seguridad Rich Warren and Kevin Beaumont.

Los ataques se intensificaron esta semana, e incluso una nueva operación de ransomware conocida como LockFile comenzó a utilizar el exploit ProxyShell como una forma de ingresar a las redes corporativas. El viernes, la firma de seguridad Huntress Labs dijo que escaneó servidores Microsoft Exchange que habían sido hackeados usando ProxyShell y encontró más de 140 shells web diferentes en más de 1.900 servidores Exchange.

Para empeorar las cosas, a principios de esta semana, un usuario de un foro clandestino de ciberdelincuencia de habla rusa también publicó una lista de los más de 100.000 servidores Exchange accesibles por Internet, reduciendo la barrera para que incluso más actores de amenazas puedan simplemente aprovechar el exploit público y comenzar a atacar.

Vía:

https://t.me/s/cybersecuritypulse/305


Fuentes:

https://www.zerodayinitiative.com/blog/2021/8/30/proxytoken-an-authentication-bypass-in-microsoft-exchange-server


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.