Neopravená konštrukčná chyba v implementácii protokolu Autodiscover od Microsoft Exchange mala za následok únik približne 100 000 prihlasovacích mien a hesiel pre Windows domény po celom svete.
„Ide o vážny bezpečnostný problém, pretože ak útočník dokáže kontrolovať takéto domény alebo má schopnosť „načuchať“ prevádzku v tej istej sieti, môže zachytiť poverenia domény vo forme obyčajného textu (základná autentifikácia HTTP), ktoré sa prenášajú po drôte. “, uviedol Amit Serper z Guardicore v technickej správe.
„Navyše, ak má útočník vo veľkom meradle schopnosti otráviť DNS (ako napríklad útočník z národného štátu), mohol by systematicky vysávať netesné heslá prostredníctvom rozsiahlej kampane na otravu DNS založenej na týchto TLD Autodiscover. [top-level domains].”
Služba Exchange Autodiscover umožňuje používateľom konfigurovať aplikácie, ako je Microsoft Outlook, s minimálnym vstupom používateľa, čo umožňuje použiť iba kombináciu e-mailových adries a hesiel na získanie ďalších preddefinovaných nastavení potrebných na nastavenie ich e-mailových klientov.
Slabina, ktorú objavila spoločnosť Guardicore, spočíva v špecifickej implementácii Autodiscover založenej na protokole POX (známy ako „obyčajný XML“) XML, ktorý spôsobuje, že webové požiadavky na domény Autodiscover unikli mimo domény používateľa, ale v rovnakej doméne najvyššej úrovne. .
V hypotetickom príklade, kde je e-mailová adresa používateľa „[email protected]“, e-mailový klient využíva službu Autodiscover na vytvorenie adresy URL na načítanie konfiguračných údajov pomocou ľubovoľnej z nižšie uvedených kombinácií e-mailovej domény, subdomény a reťazec cesty, v opačnom prípade vytvorí inštanciu algoritmu „späť-off“ —
- https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
- https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
- https://example.com/Autodiscover/Autodiscover.xml
- https://example.com/Autodiscover/Autodiscover.xml
“Tento mechanizmus “stiahnutia” je vinníkom tohto úniku, pretože sa vždy snaží vyriešiť časť domény Autodiscover a vždy sa bude snažiť “zlyhať”, aby som tak povedal,” vysvetlil Serper. “To znamená, že výsledok ďalšieho pokusu o vytvorenie Autodiscover URL by bol: ‘https://Autodiscover.com/Autodiscover/Autodiscover.xml.” To znamená, že ktokoľvek vlastní Autodiscover.com, dostane všetky žiadosti, ktoré sa nedostanú na pôvodnú doménu.”
Vyzbrojení týmto objavom a registráciou niekoľkých domén najvyššej úrovne Autodiscover (napr. Autodiscover.com[.]br, Autodiscover.com[.]cn, Autodiscover[.]v, atď.) ako honeypoty, Guardicore povedal, že je schopný pristupovať k požiadavkám na koncové body Autodiscover z rôznych domén, IP adries a klientov, čím sa prepojí 96 671 jedinečných poverení odoslaných z Outlooku, mobilných e-mailových klientov a iných aplikácií prepojených s Microsoft Exchange serverom cez štvormesačné obdobie od 16. apríla 2021 do 25. augusta 2021.
Domény týchto uniknutých prihlasovacích údajov patrili niekoľkým subjektom z viacerých vertikál zahŕňajúcich verejne obchodované korporácie v Číne, investičné banky, výrobcov potravín, elektrárne a realitné firmy, poznamenala bostonská spoločnosť zaoberajúca sa kybernetickou bezpečnosťou.
Aby toho nebolo málo, výskumníci vyvinuli útok „ol’ switcheroo“, ktorý zahŕňal odoslanie požiadavky klientovi na prechod na slabšiu autentifikačnú schému (tj HTTP Basic autentifikáciu) namiesto bezpečných metód, ako je OAuth alebo NTLM, čím sa vyžiadal e-mail. aplikáciu na odoslanie poverení domény vo forme čistého textu.
Na zmiernenie únikov Autodiscover sa odporúča, aby používatelia servera Exchange zakázali podporu základnej autentifikácie a pridali zoznam všetkých možných domén Autodiscover.TLD do súboru lokálneho hostiteľa alebo konfigurácie brány firewall, aby sa predišlo nechcenému rozlíšeniu domény Autodiscover. Dodávateľom softvéru sa tiež odporúča, aby sa vyhli implementácii „back-off“ postupu, ktorý smerom nahor zlyhá pri vytváraní nepredvídaných domén, ako je „Autodiscover“.
“Útočníci sa často pokúšajú prinútiť používateľov, aby im poslali svoje poverenia, a to použitím rôznych techník, či už technických alebo prostredníctvom sociálneho inžinierstva,” povedal Serper. „Tento incident nám však ukazuje, že heslá môžu uniknúť mimo perimetra organizácie prostredníctvom protokolu, ktorý mal zefektívniť operácie IT oddelenia s ohľadom na konfiguráciu e-mailových klientov bez toho, aby o tom niekto z IT alebo bezpečnostného oddelenia vedel. zdôrazňuje dôležitosť správnej segmentácie a nulovej dôvery.“
