研究人员揭露Exchange Server新的ProxyToken漏洞，可导致电子邮件被窃取

继ProxyLogon、ProxyShell等重大漏洞后，研究人员再揭露外号ProxyToken的Exchange Server漏洞，可能导致企业电子邮件被人窃走。微软已于7月修补了这项漏洞。

ProxyToken正式编号CVE-2021-33766，是由越南VNPT ISC研究人员Le Yuan Tuyen偕同趋势科技Zero Day Initiative研究发现，并于3月通报微软。

CVE-2021-33766是Exchange Server中的资讯泄露漏洞。利用此一漏洞，未经授权的攻击者可在属于任意使用者的信箱执行组态行为，进而将目标受害者账号的所有邮件复制过来，再转寄到攻击者控制的信箱。

研究人员解释，攻击结合两项因素。首先是Exchange Server的邮件组态问题。Exchange Server运作分成二部分，一是作为界面的Outlook Web Access或Exchange Control Panel（ecp）前端网站，二是Exchange后端网站。在“委任验证（delegated authentication）功能”中，前端网站会将需要验证的/ecp呼叫传到后端，后端要看到呼叫中有SecurityToken cookie才会动作，进行验证。然而Exchange Server的预设组态中，并未将负责验证的模组DelegatedAuthModule载入到后端ECP网站，以致于前端网站在/ecp页面呼叫中看到SecurityToken cookie不验证，但后端ECP网站也未启动验证。结果是未经验证的攻击者呼叫轻易而进入Exchange后端。

开采ProxyToken漏洞的第二项因素，是要在/ecp页面启动呼叫。呼叫需要有名为ECP Canary的令符。没有Canary就触发HTTP 500错误讯息，但有趣的是，HTTP 500触发后反而带来有效的Canary，使攻击者得以启动呼叫。

成功呼叫让攻击者得以修改Exchange Server组态，设定转寄规则，进而将邮件转寄到自己的信箱中。

本漏洞属于风险值7.3的高风险漏洞，发现时间约在ProxyLogon揭露后。研究人员通报微软后，微软已于7月Patch Tuesday予以修补。