En “designfeil” i Microsoft Autodiscover -protokollen ble gjenstand for undersøkelse av forskere som fant at de var i stand til å høste domeneregistreringer.
Onsdag publiserte Guardicore Labs 'AVP for sikkerhetsforskning Amit Serper resultatene av en analyse av Autodiscover, en protokoll som brukes til å autentisere til Microsoft Exchange -servere og konfigurere klienttilgang.
Det er forskjellige iterasjoner av protokollen tilgjengelig for bruk. Guardicore utforsket en implementering av Autodiscover basert på POX XML og fant en “designfeil” som kan utnyttes til å “lekke” nettforespørsler til Autodiscover-domener utenfor en brukers domene, så lenge de befant seg i samme toppdomene (TLD) ).
For å teste protokollen registrerte og kjøpte teamet først en rekke domener med et TLD -suffiks, inkludert Autodiscover.com.br, Autodiscover.com.cn, Autodiscover.com.fr og Autodiscover.com.uk, og så videre .
Disse domenene ble deretter tilordnet en Guardicore -webserver, og forskerne sier at de “bare ventet på at webforespørsler skulle komme til forskjellige Autodiscover -endepunkter.”
“Back-off” -prosedyren beskrives som “synderen” for lekkasjen, ettersom feil i å løse nettadresser basert på analyserte, brukerleverte e-postadresser vil resultere i en “fail up”:
“Det vil si at resultatet av det neste forsøket på å bygge en Autodiscover URL ville være: http://Autodiscover.com/Autodiscover/Autodiscover.xml,” forklarte forskerne. “Dette betyr at den som eier Autodiscover.com vil motta alle forespørslene som ikke kan nå det opprinnelige domenet. […] Til vår overraskelse begynte vi å se betydelige mengder forespørsler til Autodiscover -endepunkter fra forskjellige domener, IP -adresser og klienter. . “
Totalt klarte Guardicore å fange 372.072 Windows -domeneregistreringsopplysninger og 96.671 unike sett med legitimasjon fra kilder, inkludert Microsoft Outlook og e -postklienter mellom 16. april og 25. august 2021. Noen sett ble sendt via grunnleggende HTTP -autentisering.
Guardicore
Kinesiske selskaper, matprodusenter, verktøyfirmaer, shipping- og logistikkorganisasjoner og mer ble inkludert.
“Det interessante problemet med en stor mengde forespørslene vi mottok var at det ikke var noe forsøk på klientsiden for å sjekke om ressursen er tilgjengelig eller til og med eksisterer på serveren før du sender en godkjent forespørsel,” forklarte teamet.
Guardicore var også i stand til å lage en angrepsmetode basert på en angriper som kontrollerte relevante TLD -domener som nedgraderte legitimasjon som ble sendt til dem i alternative autentiseringssystemer – for eksempel NTLM og OAuth – til grunnleggende HTTP -autentisering.
Serper sa til ZDNet, “protokollfeilen er ikke ny; vi kunne bare utnytte den i massiv skala.”
Tidligere forskning utført av Shape Security og publisert i 2017 utforsker Autodiscover og potensialet for misbruk (.PDF). Papiret fokuserer imidlertid på Autodiscover -implementeringer i mobile e -postklienter.
Guardicore sier at den har “initiert ansvarlige avsløringsprosesser med noen av leverandørene som er berørt” av den siste oppdagelsen.
For å redusere dette problemet, sier Guardicore at Autodiscover TLD -domener bør blokkeres av brannmurer, og når Exchange -oppsett konfigureres, bør støtte for grunnleggende autentisering deaktiveres – da dette er “det samme som å sende et passord i klartekst over ledningen.”
ZDNet har kontaktet Microsoft, og vi oppdaterer når vi hører tilbake.
Tidligere og beslektet dekning
Tidligere AWS -eksekutiv Charlie Bell til å lede den nye Microsoft Security, Compliance, Identity and Management org
Alt du trenger å vite om Microsoft Exchange Server -hack
Storbritannia og Det hvite hus klandrer Kina for Microsoft Exchange Server hack
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Microsoft Security TV Data Management CXO Data Centers