ProxyRelay kwetsbaarheid

Op 19 oktober 2022 publiceerde Devcore een blog over een Microsoft Exchange Server kwetsbaarheid genaamd ProxyRelay. Dit is de laatste in een reeks van vier, waarvan de eerste drie in augustus 2021 zijn gepubliceerd. De vierde blog is hier te vinden: https://devco.re/blog/2022/10/19/a-new-attack-surface-on-MS-exchange-part-4-ProxyRelay/

De blog over ProxyRelay beschrijft vier kwetsbaarheden. Op dit moment is er nog geen indicatie dat ProxyRelay wordt uitgebuit. Met de details uit de blog is het waarschijnlijk dat er exploits zullen worden ontwikkeld.

ProxyRelay is een verzameling van meerdere kwetsbaarheden en kan worden gezien als een aanvalsoppervlak. Op basis van de huidige inzichten is het door het uitbuiten van ProxyRelay mogelijk om authenticatie te omzeilen, toegang te krijgen tot data (zoals bijvoorbeeld e-mails) en code uit te voeren zonder tussenkomst van de gebruiker.

Op dit moment is er nog geen indicatie dat ProxyRelay wordt uitgebuit. Dit wordt ook niet op korte termijn verwacht, maar met de details uit de blog is het waarschijnlijk dat er exploits zullen worden ontwikkeld.

ProxyRelay bestaat uit vier kwetsbaarheden, waarvan er momenteel drie zijn geregistreerd als CVE:

• CVE-2021-33768 – Relay to Exchange FrontEnd
• CVE-2022-21979 – Relay to Exchange BackEnd
• CVE-2021-26414 – Relay to Exchange DCOM
• CVE-2022-RESERVED – Relay to other services of Exchange

CVE	CVE gepubliceerd	CVE laatst gewijzigd	CVSS V3 score	EPSS score	EPSS percentiel
CVE-2021-26414	2021-06-08	2022-09-12	6,5	0,02844	0,82629
CVE-2021-33768	2021-07-14	2022-05-03	8	0,0115	0,5942
CVE-2022-21979	2022-08-09	2022-09-22	5,7	0,0115	0,5942

Table 1 – CVE detailinformatie van 19 oktober 2022

Op basis van de huidige CVSS- en EPSS-scores lijken de kwetsbaarheden op zichzelf niet kritiek. Het is echter de combinatie van de kwetsbaarheden en het ProxyRelay aanvalsoppervlak dat de echte dreiging vormt. Om deze reden meldde Devcore de kwetsbaarheid in juni 2021 bij Microsoft en publiceerde pas ruim een ​​jaar later hun blog.

Microsoft heeft patches uitgebracht als onderdeel van de Exchange Augustus 2022 Security Update voor de volgende versies van Microsoft Exchange Server:

• Microsoft Exchange Server 2013 CU23
• Microsoft Exchange Server 2016 CU22 en CU23
• Microsoft Exchange Server 2019 CU11 en CU12

Daarnaast wordt geadviseerd om de Cumulatieve Updates voor Microsoft Windows van de Microsoft Exchange Server van minimaal juni 2022 toe te passen.

Hoewel het upgraden van een Exchange Server een uitdaging kan zijn, wordt het ten zeerste aanbevolen om de patches toe te passen. Op dit moment is er nog geen indicatie dat ProxyRelay wordt uitgebuit. Met de publicatie van de blog is het waarschijnlijk dat er exploits zullen worden ontwikkeld.

Meer informatie:

• August 2022 Exchange Server Security Updates – https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2022-exchange-server-security-updates/ba-p/359386
• ProxyRelay blog van Devcore- https://devco.re/blog/2022/10/19/a-new-attack-surface-on-MS-exchange-part-4-ProxyRelay/
• ProxyShell blog van Devcore – https://devco.re/blog/2021/08/22/a-new-attack-surface-on-MS-exchange-part-3-ProxyShell/
• ProxyOracle blog van Devcore – https://devco.re/blog/2021/08/06/a-new-attack-surface-on-MS-exchange-part-2-ProxyOracle/
• ProxyLogon blog van Devcore – https://devco.re/blog/2021/08/06/a-new-attack-surface-on-MS-exchange-part-1-ProxyLogon/
• Microsoft Advisory CVE-2021-33768 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33768
• Microsoft Advisory CVE-2022-21979 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21979
• Microsoft Advisory CVE-2021-26414 – https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26414