被研究人員稱為 ProxyToken 的 CVE-2021-33766，為 Microsoft Exchange Server中存在的一個嚴重安全漏洞，是一個資料洩露漏洞，可允許未經身份驗證的攻擊者訪問並竊取使用者郵箱中的電子郵件，可導致使用者的個人信息、公司數據遭到洩露。

Microsoft Exchange Server 主要分為兩個組成部分，分別為讓用戶訪問電子郵件的前端，及處理身份驗證功能的後端。前端大多只是後端的代理。為了允許需要身份驗證的訪問，前端提供諸如 /owa/auth/logon.aspx 之類的頁面，主要作用是重新打包請求並將它們代理到 Exchange 後端站點上的相應端點，然後它從後端收集響應並將它們轉發給客戶端。

問題特別出現在「委託身份驗證」（Delegated Authentication）的功能中，其中前端將身份驗證請求直接傳遞給後端。這些請求包含用於識別它們的 SecurityToken cookie；如果前端發現名為 SecurityToken 的非空 cookie，它會將身份驗證委託給後端。但是，必須專門配置 Exchange 以讓後端執行身份驗證檢查；在默認配置中，不會加載負責該操作的模塊（DelegatedAuthModule）。當前端看到 SecurityToken cookie 時，它知道只有後端負責驗證這個請求，與此同時，後端完全不知道它需要根據 SecurityToken cookie 對某些傳入請求進行身份驗證，因為 DelegatedAuthModule 未在未配置為使用特殊委託身份驗證功能的安裝中加載。最終結果是請求可以順利通過，而無需在前端或後端進行身份驗證。

從這裡，攻擊者可以安裝轉發規則，允許他們閱讀受害者的郵件。利用這個漏洞，未經身份驗證的攻擊者可以對任意用戶的郵箱執行配置操作。

此漏洞風險為7.3，微軟已於7月的Patch Tuesday中修復。

 

參考資料：
https://threatpost.com/microsoft-exchange-proxytoken-email/169030/