마이크로소프트 익스체인지에서 이메일 스누핑을 허용하는 ‘ProxyToken’ 취약점 발견

 

 

Microsoft Exchange ‘ProxyToken’ Bug Allows Email Snooping

 

마이크로소프트 익스체인지 서버에서 인증되지 않은 공격자가 타깃의 메일함에 접근해 이메일을 훔치도록 허용하는 심각한 보안 취약점인 'ProxyToken'이 발견되었습니다.

 

마이크로소프트 익스체인지는 웹사이트 두 개를 사용합니다. 하나는 프론트엔드로 사용자가 이메일에 접근할 때 연결하며, 다른 하나는 백엔드 사이트로 인증 기능을 처리합니다.

 

Trend Micro는 이에 대해 아래와 같이 밝혔습니다.

 

“프론트엔드 웹사이트는 대부분 백엔드에 대한 프록시입니다. 프론트엔드는 양식 인증이 필요한 접근을 허용하기 위해  /owa/auth/logon.aspx와 같은 페이지를 제공합니다. 프론트엔드의 역할은 모든 사후 인증 요청에 대해 해당 요청을 다시 패키징하고 익스체인지 백엔드 사이트 내 관련 엔드포인트로 프록싱하는 것입니다. 이후 백엔드에서 응답을 수집해 클라이언트로 전달합니다.”

 

이 문제는 프론트엔드가 백엔드로 인증 요청을 직접 전달하는 “위임 인증” 기능에서 특히 자주 발생합니다. 이러한 요청에는 이를 식별하는 'SecurityToken' 쿠키가 포함되어 있습니다. 즉, 프론트엔드가 비어 있지 않은 쿠키인 SecurityToken을 찾으면 인증을 백엔드에 위임합니다. 하지만 익스체인지는 백엔드에서 인증 확인을 수행하도록 구체적으로 구성되어야 합니다. 기본 구성에서는 이를 담당하는 모듈(DelegatedAuthModule)이 로드되지 않습니다.

 

“프론트엔드가 SecurityToken 쿠키를 확인하면, 이 요청을 인증할 책임이 백엔드에 있음을 알게 됩니다. DelegatedAuthModule은 특별 위임 인증 기능을 사용하도록 설정되지 않은 곳에는 로드되지 않기 때문에, 백엔드는 SecurityToken 쿠키를 기반으로 한 일부 요청을 인증해야 한다는 사실을 알지 못합니다. 그 결과 프론트엔드나 백엔드에서 인증을 거치지 않고 요청을 통과할 수 있게 됩니다.”

 

이후부터 공격자는 피해자의 수신 메일을 읽을 수 있도록 포워딩 룰을 설정할 수 있습니다.

 

“이 취약점을 통해 인증되지 않은 공격자가 임의 사용자의 메일함의 구성을 변경할 수 있습니다. 이는 주소가 타깃 및 계정으로 지정된 모든 이메일을 복사 후 공격자가 제어하는 ​​계정으로 전달하는 데 사용될 수 있습니다.”

 

ZDI는 공격자가 피해자와 동일한 익스체인지 서버에 계정을 가진 상황에 놓인 악용 시나리오에 대해 설명했습니다. 또한 관리자가 임의 인터넷 타깃이 있는 포워딩 규칙을 허용했을 경우 익스체인지 크리덴셜이 전혀 필요하지 않다고 설명했습니다.

 

해당 취약점(CVE-2021-33766)은 VNPT ISC의 Le Xuan Tuyen 연구원이 Zero Day Initiative에 보고했으며, 마이크로소프트는 지난 7월 익스체인지 누적 업데이트에서 이를 패치했습니다. 해당 공격을 예방하기 위해서는 제품을 업데이트 해야합니다.

 

ProxyToken은 3월 초 ProxyLogon이 공개된 이후 공개되었습니다. 이는 익스체인지 취약점 4개(CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)로 구성된 익스플로잇 체인으로, 사전 인증 원격 코드 실행(RCE) 익스플로잇을 만들 수 있습니다. 공격자는 유효한 계정 크리덴셜 없이 패치가 적용되지 않은 서버를 해킹해 이메일 통신에 접근하고, 추가 악용을 위해 환경 내 웹 셸을 설치할 수 있습니다. ProxyLogon은 지난 봄 내내 대규모 공격에서 무기로 사용되었습니다.

 

 

 

 

출처:

https://threatpost.com/microsoft-exchange-proxytoken-email/169030/

https://www.zerodayinitiative.com/blog/2021/8/30/proxytoken-an-authentication-bypass-in-microsoft-exchange-server