CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Protocolul Microsoft Exchange Autodiscover permite expunerea a sute de mii de credențiale

Computer security concept.

O vulnerabilitate a protocolului Microsoft Exchange Autodiscover, utilizat la configurarea clienților Exchange, precum Outlook, poate permite dezvăluirea credențialelor utilizatorilor în anumite circumstanțe.

Mai exact, clientul Exchange poate oferi credențialele de acces (username și parolă) unui atacator dacă vulnerabilitatea este exploatată cu succes. Firma de securitate Guardicore a declarat că a descoperit această eroare ce permite transmiterea cererilor web către domenii de descoperire automată din afara domeniului utilizatorului, dar din același domeniu de nivel superior (Top Level Domain).

Protocolul Microsoft Exchange Autodiscover, în special versiunea bazată pe POX XML, oferă aplicațiilor client posibilitatea de a obține datele de configurare necesare pentru a comunica cu serverul Exchange. Atunci când este adăugat un cont nou în Outlook, după ce utilizatorul furnizează numele, adresa de email și parola, aplicația va încerca să utilizeze protocolul Autodiscover pentru a configura clientul.

Conform unui raport furnizat de firma Guardicore, clientul analizează adresa de email, user@exemple.com spre exemplu, și încearcă să construiască o adresă URL pentru datele de configurare utilizând combinații dintre un domeniu de email, un subdomeniu și o cale precum:

  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://example.com/Autodiscover/Autodiscover.xml
  • http://example.com/Autodiscover/Autodiscover.xml

În cazul în care clientul nu primește niciun răspuns de la aceste adrese URL, ceea ce s-ar întâmpla dacă Exchange ar fi configurat necorespunzător sau ar fi cumva restricționat să acceseze aceste resurse – protocolul Autodiscover încearcă un algoritm de ”back-off” care folosește un Autodiscover cu un Top Level Domain (TLD), precum:

  • http://Autodiscover.com/Autodiscover/Autodiscover.xml

Vulnerabilitatea este datorată acestui mecanism, deoarece acesta va încerca întotdeauna să ”rezolve” porțiunea ce ține de domeniu. Ceea ce înseamnă că, oricine deține Autodiscover.com va primi toate solicitările web care nu pot ajunge la domeniul original.

Compania a declarat că nu știe dacă cineva a abuzat până acum de această vulnerabilitate, dar, ținând cont că erorile de proiectare sunt cunoscute de ceva vreme, este foarte posibil ca aceasta să fi fost deja exploatată.

Pentru remedierea problemei aceștia sfătuiesc utilizatorii Exchange să dezactiveze autentificarea de bază HTTP și sugerează adăugarea unei liste cu toate domeniile posibile Autodiscover.TLD într-un fișier gazdă local sau în configurația firewall-ului, pentru a bloca rezoluțiile domeniului Autodiscover nedorite.

Sursa:https://www.theregister.com/2021/09/22/microsoft_exchange_autodiscover_protocol_found/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică