Logo
Hamburger Menu Icon
Yoroi Background

Rilasciati Exploit per Vulnerabilità "PROXYTOKEN" su Exchange Server

09/01/2021

Proto: N010921.

Con la presente CERT-Yoroi desidera informarla riguardo alla recente pubblicazione di dettagli tecnici su gravi vulnerabilità all'interno delle tecnologie Microsoft Exchange Server, servizi di posta on premise ampiamente utilizzati in ambito Enterprise e SMB. La falla è nota con l'alias "PROXYTOKEN" e con l'identificativo CVE-2021-33766. 

La problematica è causata in lacune nella gestione delle autenticazioni utente tra le interfacce di servizio frontend e backend  di Exchange Server, per la quale un attaccante di rete privo di autenticazioni capace di raggiungere le interfacce ECP su protocolli HTTP/HTTP può eseguire comandi arbitrari sulle qualsiasi casella di posta gestita dal server. Tale circostanza rappresenta scenari di rischio rilevanti in quanto l'attaccante ha facoltà di monitorare, trafugare o alterare le comunicazioni e-mail aziendali, esponendo l'organizzazione ad elevati rischi frode e furto di proprietà’ intellettuale. 

Il Vendor ha confermato e gestito la problematica con gli aggiornamenti di sicurezza di Luglio 2021, nei quali sono state rilasciate patch ad hoc per risolvere la problematica: 

  • Microsoft Exchange Server 2019 Cumulative Update 8 
  • Microsoft Exchange Server 2016 Cumulative Update 19 
  • Microsoft Exchange Server 2013 Cumulative Update 23 
  • Microsoft Exchange Server 2016 Cumulative Update 20 
  • Microsoft Exchange Server 2019 Cumulative Update 9 

Considerata l'esposizione internet delle interfacce ECP, la disponibilità di dettagli tecnici utili a replicare la problematica e l'elevato rischio di campagne di frode BEC / CEO Fraud associato, CERT-Yoroi consiglia caldamente di appurare l'avvenuta installazione delle patch di sicurezza, anche in caso di Exchange in corso di dismissione. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index 

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram