Recientemente, la comunidad de ciberseguridad se ha visto alarmada por el surgimiento de una nueva vulnerabilidad en Microsoft Exchange Server, conocida como ‘ProxyToken’. Esta falla, documentada como CVE-2021-33766 y con una puntuación CVSS de 7.3, permite a los atacantes no autenticados modificar las configuraciones del servidor, lo que podría llevar a la divulgación de información personal identificable (PII).
El descubrimiento de esta vulnerabilidad fue realizado por Le Xuan Tuyen, un investigador del Centro de Seguridad de la Información del Grupo de Correos y Telecomunicaciones de Vietnam (VNPT-ISC), y fue reportado dentro del marco del programa Zero-Day Initiative (ZDI) en marzo de 2021.
La importancia de este hallazgo no puede subestimarse. Con esta vulnerabilidad, como lo señala el ZDI, un atacante puede ejecutar acciones de configuración en buzones de correo de usuarios arbitrarios. Esto significa que sería posible, por ejemplo, copiar todos los correos electrónicos que se dirigen a un objetivo específico y reenviarlos a una cuenta controlada por el atacante.
Microsoft tomó cartas en el asunto y abordó la falla como parte de las actualizaciones de seguridad de julio de 2021. Sin embargo, la cuestión principal radica en una función denominada Autenticación delegada, que involucra el mecanismo mediante el cual el cliente Outlook Web Access (OWA) reenvía solicitudes de autenticación al backend cuando detecta la presencia de un SecurityToken. El módulo que gestiona esta delegación, denominado DelegatedAuthModule, no se carga de forma predeterminada en la configuración, lo que representa un gran riesgo de seguridad.
Esta debilidad ya ha comenzado a ser objeto de explotación, y el investigador de seguridad de NCC Group, Rich Warren, ha reportado intentos de explotación en la naturaleza. Esto hace que la actualización de seguridad sea imperativa para los usuarios de Microsoft Exchange a fin de proteger sus sistemas de este tipo de ataques.
Además, esta falla se suma a una serie de vulnerabilidades que han sido descubiertas en Exchange Server, como Connection Proxy, ProxyOracle, y ProxyShell, que son utilizadas por actores maliciosos para tomar control de servidores descuidados. La explotación de estas vulnerabilidades ha resultado en el despliegue de ransomware y shells web maliciosos, lo que agrava aún más la tensión sobre la seguridad de estos sistemas.
- Conclusión: La situación actual exige una vigilancia estricta y un cumplimiento inmediato de las actualizaciones de seguridad. Aquellos que utilizan Microsoft Exchange Server deben actuar con rapidez para aplicar los parches necesarios y mitigar el riesgo de explotación.
En un mundo donde la seguridad cibernética se convierte en una prioridad, los informes como el de ‘ProxyToken’ de Microsoft Exchange nos recuerdan la necesidad de mantener nuestros sistemas actualizados y protegidos. La prevención es la clave para evitar posibles desastres en el futuro.
