Ошибки автообнаружения Microsoft Exchange приводят к утечке 100 КБ учетных данных Windows

34
Новая служба Microsoft Exchange автоматически устраняет ошибки с высоким риском

Ошибки в реализации функции автообнаружения Microsoft Exchange привели к утечке примерно 100 000 имен пользователей и паролей для доменов Windows по всему миру.

В новом отчете Амита Серпера, AVP Guardicore по исследованиям безопасности, исследователь показывает, как неправильная реализация протокола автообнаружения, а не ошибка в Microsoft Exchange, вызывает отправку учетных данных Windows на сторонние ненадежные веб-сайты.

Прежде чем мы перейдем к сути проблемы, важно быстро взглянуть на протокол автообнаружения Microsoft Exchange и то, как он реализован.

Что такое автообнаружение Microsoft Exchange

Microsoft Exchange использует функцию автообнаружения для автоматической настройки почтового клиента пользователя, такого как Microsoft Outlook, с использованием предопределенных почтовых параметров организации.

Когда пользователь Exchange вводит свой адрес электронной почты и пароль в почтовый клиент, такой как Microsoft Outlook, почтовый клиент затем пытается пройти аутентификацию по различным URL-адресам автообнаружения Exchange.

Во время этого процесса аутентификации имя пользователя и пароль автоматически отправляются на URL-адрес автообнаружения.

URL-адреса автообнаружения, к которым будет выполнено подключение, являются производными от адреса электронной почты, настроенного в клиенте.

Например, когда Серпер тестировал функцию автообнаружения, используя адрес электронной почты amit@example.com, он обнаружил, что почтовый клиент пытался аутентифицироваться по следующим URL-адресам автообнаружения:

  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://example.com/Autodiscover/Autodiscover.xml
  • http://example.com/Autodiscover/Autodiscover.xml

Почтовый клиент будет пробовать каждый URL-адрес до тех пор, пока он не будет успешно аутентифицирован на сервере Microsoft Exchange и информация о конфигурации не будет отправлена ​​обратно клиенту.

Утечка учетных данных во внешние домены

Если клиент не смог пройти аутентификацию по указанным выше URL-адресам, Серпер обнаружил, что некоторые почтовые клиенты, включая Microsoft Outlook, будут выполнять процедуру «отката». Эта процедура пытается создать дополнительные URL-адреса для аутентификации, такие как домен autodiscover. [Tld], где TLD является производным от адреса электронной почты пользователя.

В этом конкретном случае сгенерированный URL-адрес — http://Autodiscover.com/Autodiscover/Autodiscover.xml.

Эта неправильная реализация протокола автообнаружения приводит к тому, что почтовые клиенты проходят проверку подлинности в ненадежных доменах, таких как autodiscover.com, где и начинаются проблемы.

Поскольку организация пользователя электронной почты не владеет этим доменом, а учетные данные автоматически отправляются по URL-адресу, это позволит владельцу домена собирать любые отправленные им учетные данные.

Чтобы проверить это, Guardicore зарегистрировала следующие домены и настроила веб-серверы на каждом из них, чтобы узнать, сколько учетных данных будет пропущено функцией автообнаружения Microsoft Exchange.

  • Autodiscover.com.br — Бразилия
  • Autodiscover.com.cn — Китай
  • Autodiscover.com.co — Колумбия
  • Autodiscover.es — Испания
  • Autodiscover.fr — Франция
  • Autodiscover.in — Индия
  • Autodiscover.it — ​​Италия
  • Autodiscover.sg — Сингапур
  • Autodiscover.uk — Великобритания
  • Autodiscover.xyz
  • Autodiscover.online

После того, как эти домены были зарегистрированы и использованы, Серпер обнаружил, что почтовые клиенты, включая Microsoft Outlook, отправляли множество учетных данных с использованием базовой аутентификации, что облегчало их просмотр.

Для клиентов Microsoft Outlook, которые отправляли учетные данные с помощью NTLM и Oauth, Серпер создал атаку, получившую название «Старый переключатель», которая заставляла клиента понижать уровень запроса до запроса обычной проверки подлинности.

Это снова позволит исследователю получить доступ к паролям пользователя в открытом виде.

При проведении этих тестов с 20 апреля 2021 года по 25 августа 2021 года серверы Guardicore получили:

  • 648 976 HTTP-запросов, направленных на их домены автообнаружения.
  • 372 072 запросов базовой аутентификации.
  • 96 671 уникальный запрос с предварительной аутентификацией.

Guardicore сообщает, что домены, которые отправили свои учетные данные, включают:

  • Публично торгуемые компании на китайском рынке
  • Производители продуктов питания
  • Инвестиционные банки
  • Электростанции
  • Доставка мощности
  • Недвижимость
  • Доставка и логистика
  • Мода и ювелирные изделия

Устранение утечек автообнаружения Microsoft Exchange

Серпер представил несколько предложений, которые организации и разработчики могут использовать для устранения утечек, связанных с автообнаружением Microsoft Exchange.

Для организаций, использующих Microsoft Exchange, вы должны заблокировать все домены Autodiscover. [Tld] на вашем брандмауэре или DNS-сервере, чтобы ваши устройства не могли подключиться к ним. Guardicore создал текстовый файл, содержащий все домены автообнаружения, которые можно использовать для создания правил доступа.

Организациям также рекомендуется отключить обычную проверку подлинности, поскольку она по сути отправляет учетные данные в виде открытого текста.

Разработчикам программного обеспечения Серпер рекомендует пользователям предотвращать сбой своих почтовых клиентов при построении URL-адресов автообнаружения, чтобы они никогда не подключались к доменам автообнаружения. [Tld].

Почему разработчики, включая Microsoft, возвращаются к ненадежному автообнаружению. Домены [tld] остаются загадкой, поскольку в документации Microsoft по протоколу автообнаружения эти домены не упоминаются.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here