Microsoft Exchange ProxyToken: Backend-Zugriff an der Authentifizierung vorbei

Bereits im April hat Microsoft eine weitere, bislang unbekannte Lücke im Exchange Server geschlossen. ProxyToken umgeht auf trickreiche Weise die Authentifizierung für den Zugriff auf die Konfiguration eines Exchange-Kontos. Ein Angreifer könnte damit etwa die ankommende Mail eines Exchange-Nutzers auf ein anderes Konto umleiten.

Beim Ausnutzen der ProxyToken-Lücke spielt der Angreifer das Exchange-Frontend und das -Backend gegeneinander aus. Dazu signalisiert er dem Frontend mit einem speziellen Cookie namens SecurityToken, dass das Backend für die Authentifizierung zuständig wäre. Das ist eine Funktion, die etwa für die Anmeldung in komplexen Exchange-Installationen nötig ist ("Delegated Authentication" in Cross-Forrest-Topologien).

Nimm du ihn, ich hab ihn sicher

Dummerweise lädt das Backend in der Standard-Konfiguration aber das dafür benötigte DelegatedAuthModule-Modul gar nicht und geht stattdessen davon aus, dass das Frontend das mit der Authentifizierung bereits erledigt hat. Als Resultat kann der Angreifer seine Konfigurationsänderung ganz ohne Anmeldedaten an das Backend durchreichen.

Entdeckt hat diese Lücke der vietnamesische Sicherheitsforscher Le Xuan Tuyen, der sie an die ZDI gemeldet hat. Diese beschreiben in einem Blog-Beitrag das zugrundelegende Problem jetzt genauer. Sie erklären auch, dass der aktuelle Exploit in den Standardeinstellungen nur dann funktioniert, wenn der Angreifer selbst ebenfalls ein Konto auf dem gleichen Server hat, an das er die Mails weiterleiten kann.

Schlecht dokumentiert

Microsoft hat die Lücke CVE-2021-33766 zwar offenbar bereits mit den April-Updates für Exchange geschlossen. Doch der Dokumentation fügten sie einen diesbezüglichen Hinweis erst am 24. August hinzu. Und der spricht lediglich von einer "Sicherheitsanfälligkeit in Microsoft Exchange Server bezüglich Offenlegung von Informationen" ohne weitere Details. Der ZDI-Beitrag behauptet aktuell noch, dass die Lücke mit den Juli-Updates geschlossen würde. Dem widerspricht aber ein Microsoft-Mitarbeiter in seiner Klarstellung, welche CVEs in welchem CU gefixt werden

Microsofts Patch-Politik für Exchange hat bereits viel Kritik erfahren. Schlecht oder gar nicht dokumentierte Security-Patches erschweren die Arbeit der Administratoren unnötig. Das undurchschaubare Kuddelmuddel zwischen kumulativen Updates, die auch Funktionsänderungen mitbringen und reinen Sicherheits-Updates sorgt immer wieder für Verwirrung und letztlich unsichere Exchange-Server. Man könnte fast den Eindruck gewinnen, dass Microsoft das bewusst in Kauf nimmt, damit die frustrierten Kunden endlich auf ihr Cloud-Angebot Microsoft 365 umsteigen.

(ju)