【黑客攻擊】微軟Exchange爆安全漏洞 黑客未經身分認證可存取郵件

科技 18:15 2021/09/01

分享:

外媒報道指,微軟Exchange近日出現名為「ProxyToken」(CVE-2021-33766)的安全漏洞。未經身分認證的黑客,能透過Exchange的漏洞,存取並竊取受害者的郵件。(圖片來源 : Microsoft官網 )

微軟(Microsoft)郵件服務Exchange近日被爆出現安全問題。外媒報道指,微軟Exchange近日出現名為「ProxyToken」(CVE-2021-33766)的安全漏洞。未經身分認證的黑客,能透過Exchange的漏洞,存取並竊取受害者的郵件。

據外媒Threatpost報道指,越南郵件電信集團資安中心(VNPT-ISC)研究人員近日發現「ProxyToken」的安全漏洞,而次漏洞將會導致Exchange Server中的資訊洩露。未經授權的攻擊者利用此一漏洞,可對使用者的電子信箱執行配置操作,進而將目標受害者帳號的所有郵件複製過來,再轉寄到攻擊者控制的郵箱。

越南郵件電信集團資安中心研究人員並指出,攻擊結合兩項因素,微軟Exchange基本上採用兩個網站,一是供使用者連接以便存取郵件的前端網站;另一則為負責身分認證機制的後端網站。而此次攻擊主要由「委任驗證(delegated authentication)功能」引致。該機制會讓作為介面的Outlook Web Access或Exchange Control Panel(ecp)前端網站,直接將身分認證請求發送到後端網站,並要求Security Token Cookie以辨認他們。

【5G成賣點】智能手機市場復甦 IDC調查:iPhone出貨量是 Android手機兩倍

然而Exchange Server的預設組態中,並未將負責驗證的模組(DelegatedAuthModule)載入到後端ECP網站,以致於前端網站在/ecp頁面呼叫中看到SecurityToken Cookie不驗證,但後端ECP網站也未啟動驗證,換句話就是這些黑客請求能在不需於前端或後端進行身分認證的情況下順利通過,攻擊者可輕易地進入Exchange後端。

微軟其後回覆指,已針對這個漏洞在7月Exchange的更新中進行修復,而仍未更新的企業應盡快進行更新,以避免不必要的安全風險。

【蘋果免費維修】iPhone 12、12 Pro聽筒故障 全球用戶免費維修

【保障兒童】Instagram強制用戶提供出生日期 聲稱確保個人化體驗

責任編輯:張凱琳

緊貼財經時事新聞分析,讚好hket Facebook 專版