ProxyToken: el nuevo exploit dirigido a servidores Exchange que aún no se han actualizado

Cuando se creía que la ola de vulnerabilidades terminaría con ProxyShell, recientemente se ha evidenciado la aparición de un nuevo exploit dirigido a Microsoft Exchange que busca aprovechar una vulnerabilidad de divulgación de información que ya fue parcheada en julio. La falla es identificada con el CVE-2021-33766, a la cual sus descubridores la han llamado ProxyToken.

ProxyToken

La vulnerabilidad CVE-2021-33766 conocida como ProxyToken, que tiene una puntuación CVSS de 7,5, fue descubierta por Le Xuan Tuyen, un investigador de seguridad vietnamita del VNPT ISC, que luego de descubrirla la informó a Microsoft a través de la iniciativa ZeroDay en marzo, consecutivamente Microsoft publicó el parche en el Patch Tuesday de julio.

La vulnerabilidad de divulgación de información podría permitir que un atacante modifique la configuración de los buzones de correo de los usuarios arbitrarios y cree una regla de reenvío que reenvíe los correos electrónicos entrantes a la cuenta de correo electrónico del atacante. Exchange tiene un frontend y un backend. El frontend actúa principalmente como proxy del backend. Las solicitudes se reenvían al backend y la respuesta del backend envía el frontend al usuario.

El error fue causado por dos problemas en el código de Exchange: 

• Problema de autenticación para solicitudes que contienen una cookie llamada "SecurityToken" que se redirige desde el frontend al backend. 
• Respuesta HTTP Error 500 que expone el Panel de control de Exchange.

Al combinar los dos, se hace posible un ataque ProxyToken. A la vez los atacantes pueden realizar solicitudes fácilmente a cualquier parte del backend de Exchange, incluidos los paneles de control y la configuración de sus usuarios.

La vulnerabilidad no es crítica. NIST calculó su puntuación de gravedad en 7,5 sobre 10. Esto se debe a que un atacante necesita una cuenta en el mismo servidor de Exchange que la víctima para poder ejecutar el ataque.

Actualizaciones

De la misma forma en que se informó para el conjunto de vulnerabilidades nombradas como: ProxyLogon, ProxyOracle y ProxyShell, Microsoft le comunicó a sus usuarios sobre la disponibilidad de parches para Exchange Server 2013, 2016 y 2019 con un aviso emitido en julio.

Tal como lo hicimos presente en nuestro boletín: “Microsoft Exchange Server como High Value Target: Parchear es la mejor defensa“, que la explotación inicial comienza con el análisis de sistemas vulnerables, tal como sucedió con ProxyShell, se espera que en los próximos días se publiquen los detalles técnicos de un ataque ProxyToken, lo que seguramente causará que los ciberactores aprovechen la situación y lo transformen en una herramienta de explotación, teniendo como objetivo los cientos de sistemas que aún están sin actualizaciones. 

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.