Mobilné Správy, Gadgety, Blogy's Secenziami

Chyba Microsoft Exchange odhalí ~ 100 000 Windows Prihlasovacie údaje domény

Microsoft Exchange

Neopravená chyba návrhu pri implementácii protokolu Microsoft Exchange Autodiscover viedla k úniku približne 100 000 prihlasovacích mien a hesiel pre Windows domény po celom svete.

„Toto je vážny problém s bezpečnosťou, pretože ak útočník môže ovládať takéto domény alebo má schopnosť„ čuchať “prenos v tej istej sieti, môže zachytiť poverenia domény vo formáte obyčajného textu (základná autentifikácia HTTP), ktoré sa prenášajú cez kábel. „V technickej správe uviedol Amit Serper z Guardicore.

„Navyše, ak má útočník rozsiahle možnosti otravy DNS (napríklad útočník národného štátu), mohol by systematicky odhaľovať netesné heslá prostredníctvom rozsiahlej kampane zameranej na otravu DNS na základe týchto TLD Autodiscover. [top-level domains]. “

Služba Exchange Autodiscover umožňuje používateľom konfigurovať aplikácie, ako je napríklad Microsoft Outlook, s minimálnym vstupom užívateľov, čo umožňuje kombináciu e -mailových adries a hesiel použiť na získanie ďalších preddefinovaných nastavení potrebných na nastavenie ich e -mailových klientov.

Slabá stránka, ktorú Guardicore zistil, spočíva v konkrétnej implementácii programu Autodiscover založenom na protokole XML POX (alias „obyčajný starý XML“), ktorý spôsobuje, že webové žiadosti do domén Autodiscover sú prenesené mimo doménu používateľa, ale v rovnakej doméne najvyššej úrovne. .

Chyba Microsoft Exchange odhalí ~ 100 000 Windows Prihlasovacie údaje domény 1

V hypotetickom prípade, kde je e -mailová adresa používateľa „[email protected]“, e -mailový klient využíva službu Autodiscover na vytvorenie adresy URL na načítanie konfiguračných údajov pomocou ľubovoľnej z nižšie uvedených kombinácií e -mailovej domény, subdomény a reťazec cesty, ktorého zlyhanie iniciuje algoritmus „back-off“-

  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://example.com/Autodiscover/Autodiscover.xml
  • https://example.com/Autodiscover/Autodiscover.xml

„Tento„ back-off “mechanizmus je vinníkom tohto úniku, pretože sa vždy pokúša vyriešiť časť domény Autodiscover a vždy sa pokúsi takpovediac„ zlyhať “,“ vysvetlil Serper. “To znamená, že výsledok ďalšieho pokusu o vytvorenie adresy URL Autodiscover by bol: ‘https://Autodiscover.com/Autodiscover/Autodiscover.xml.’ To znamená, že kto vlastní stránku Autodiscover.com, dostane všetky žiadosti, ktoré sa nemôžu dostať do pôvodnej domény. “

Zabráňte úniku údajov

Vyzbrojení týmto objavom a registráciou niekoľkých domén najvyššej úrovne Autodiscover (napr. Autodiscover.com[.]br, Autodiscover.com[.]cn, Autodiscover[.]v) a podobne) ako honeypots, Guardicore uviedol, že je schopný pristupovať k požiadavkám na koncové body Autodiscover z rôznych domén, IP adries a klientov, pričom umožňuje sieť 96 671 jedinečných poverení odoslaných z Outlooku, mobilných e -mailových klientov a ďalších aplikácií, ktoré sú v rozhraní so serverom Exchange spoločnosti Microsoft. štvormesačné obdobie od 16. apríla 2021 do 25. augusta 2021.

Chyba Microsoft Exchange odhalí ~ 100 000 Windows Prihlasovacie údaje domény 2

Domény týchto uniknutých poverení patrili viacerým subjektom z viacerých odvetví pokrývajúcich verejne obchodované spoločnosti v Číne, investičné banky, výrobcov potravín, elektrárne a realitné firmy, poznamenala spoločnosť pre kybernetickú bezpečnosť so sídlom v Bostone.

Aby toho nebolo málo, vedci vyvinuli útok „ol ‘switcheroo”, ktorý zahŕňal odoslanie požiadavky klientovi na prechod na slabšiu schému autentifikácie (tj. Autentifikácia HTTP Basic) namiesto bezpečných metód, ako je OAuth alebo NTLM, vyzývajúci na odoslanie e -mailu. aplikácia na odoslanie poverení domény v čistom texte.

„Útočníci sa často pokúšajú prinútiť používateľov, aby im poslali svoje poverenia použitím rôznych techník, či už technických alebo prostredníctvom sociálneho inžinierstva,“ povedal Serper. „Tento incident nám však ukazuje, že heslá môžu byť uniknuté mimo obvod organizácie pomocou protokolu, ktorý bol určený na zefektívnenie činnosti oddelenia IT v súvislosti s konfiguráciou e -mailového klienta bez toho, aby si to niekto z oddelenia IT alebo zabezpečenia dokonca uvedomoval, čo zdôrazňuje dôležitosť správnej segmentácie a nulovej dôvery. “