Σφάλματα κατά την εφαρμογή της δυνατότητας Autodiscover του Microsoft Exchange έχουν διαρρεύσει περίπου 100.000 login names και κωδικούς πρόσβασης για domains Windows σε όλο τον κόσμο.
Σε μια νέα έκθεση του Amit Serper, του AVP της Security Security της Guardicore, ο ερευνητής αποκαλύπτει πώς η εφαρμογή του πρωτοκόλλου Autodiscover, προκαλεί την αποστολή credentials των Windows σε μη αξιόπιστους ιστότοπους τρίτων.
Δείτε επίσης: Τα bugs BadAlloc εκθέτουν εκατομμύρια IoT συσκευές σε hijack
Τι είναι το Microsoft Exchange Autodiscover
Chatbot ενθάρρυνε έφηβο να σκοτώσει τους γονείς του
RT-G: Ένα... αστυνομικό ρομπότ στην Κίνα!
Το Black Basta Ransomware εξελίσσεται - Προσοχή!
Το Microsoft Exchange χρησιμοποιεί μια λειτουργία Autodiscover για αυτόματη διαμόρφωση του mail client ενός χρήστη, όπως το Microsoft Outlook, με τις προκαθορισμένες ρυθμίσεις αλληλογραφίας του οργανισμού τους.
Όταν ένας χρήστης του Exchange εισάγει τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τον κωδικό πρόσβασής του σε ένα mail client, όπως το Microsoft Outlook, ο mail client προσπαθεί στη συνέχεια να πραγματοποιήσει έλεγχο ταυτότητας σε διάφορα Exchange Autodiscover URLs.
Δείτε επίσης: Patch Tuesday Σεπτεμβρίου 2021: Η Microsoft διορθώνει κρίσιμα bugs
Κατά τη διάρκεια αυτής της διαδικασίας ελέγχου ταυτότητας, το όνομα σύνδεσης και ο κωδικός πρόσβασης αποστέλλονται αυτόματα στο Autodiscover URL.
Τα Autodiscover URLs στα οποία θα συνδεθούν προέρχονται από τη διεύθυνση ηλεκτρονικού ταχυδρομείου που έχει διαμορφωθεί στο client.
Για παράδειγμα, όταν ο Serper δοκίμασε τη λειτουργία Autodiscover χρησιμοποιώντας το email ‘amit@example.com’, διαπίστωσε ότι ο mail client προσπάθησε να κάνει έλεγχο ταυτότητας στις ακόλουθες διευθύνσεις URL Autodiscover:
- https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
- http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
- https://example.com/Autodiscover/Autodiscover.xml
- http://example.com/Autodiscover/Autodiscover.xml
Ο mail client θα δοκίμαζε κάθε διεύθυνση URL έως ότου πιστοποιηθεί επιτυχώς στον server του Microsoft Exchange και οι πληροφορίες διαμόρφωσης αποστέλλονται πίσω στον client.
Διαρροή των credentials σε εξωτερικά domains
Εάν ο client δεν μπορούσε να πραγματοποιήσει έλεγχο ταυτότητας στις παραπάνω διευθύνσεις URL, ο Serper διαπίστωσε ότι ορισμένοι mail clients, συμπεριλαμβανομένου του Microsoft Outlook, θα εκτελούσαν μια διαδικασία “back-off”. Αυτή η διαδικασία επιχειρεί να δημιουργήσει επιπλέον διευθύνσεις URL για έλεγχο ταυτότητας, όπως στο domain autodiscover.[tld], όπου το TLD προέρχεται από τη διεύθυνση ηλεκτρονικού ταχυδρομείου του χρήστη.
Στη συγκεκριμένη περίπτωση, το URL που δημιουργείται είναι το http://Autodiscover.com/Autodiscover/Autodiscover.xml.
Σε μια νέα έκθεση του Amit Serper, του AVP της Guardicore για την Ασφάλεια της Έρευνας, ο ερευνητής αποκαλύπτει πώς η εφαρμογή του πρωτοκόλλου Autodiscover προκαλεί την ταυτοποίηση των mail clients σε μη αξιόπιστα domains, όπως το autodiscover.com.
Καθώς ο οργανισμός του χρήστη email δεν κατέχει αυτό το domain και τα credentials αποστέλλονται αυτόματα στη διεύθυνση URL, θα επιτρέψει στον κάτοχο του domain να συλλέξει τυχόν credentials που του αποστέλλονται.
Δείτε επίσης: Netgear: Διορθώνει σοβαρά bugs σε πάνω από δώδεκα smart switches
Μετριασμός των διαρροών Microsoft Exchange Autodiscover
Ο Serper παρείχε μερικές προτάσεις που μπορούν να χρησιμοποιήσουν οργανισμοί και προγραμματιστές για να μετριάσουν αυτές τις διαρροές Αυτόματου εντοπισμού του Microsoft Exchange.
Για οργανισμούς που χρησιμοποιούν το Microsoft Exchange, θα πρέπει να αποκλείσουν όλα τα domains Autodiscover.[tld] στο firewall ή στον server DNS, ώστε οι συσκευές σας να μην μπορούν να συνδεθούν με αυτά. Συνιστάται επίσης στους οργανισμούς να απενεργοποιήσουν τον βασικό έλεγχο ταυτότητας, καθώς ουσιαστικά στέλνει credentials σε cleartext.
Πηγή πληροφοριών: bleepingcomputer.com