En “designfejl” i Microsoft Autodiscover -protokollen blev genstand for en undersøgelse af forskere, der fandt ud af, at de var i stand til at høste domæneoplysninger.
Onsdag offentliggjorde Guardicore Labs 'AVP for sikkerhedsforskning Amit Serper resultaterne af en analyse af Autodiscover, en protokol, der bruges til at godkende til Microsoft Exchange -servere og til at konfigurere klientadgang.
Der er forskellige iterationer af protokollen til rådighed til brug. Guardicore undersøgte en implementering af Autodiscover baseret på POX XML og fandt en “designfejl”, der kan udnyttes til at 'lække' webanmodninger til Autodiscover-domæner uden for en brugers domæne, så længe de var i det samme topdomæne (TLD ).
For at teste protokollen registrerede og købte teamet først et antal domæner med et TLD -suffiks, herunder Autodiscover.com.br, Autodiscover.com.cn, Autodiscover.com.fr og Autodiscover.com.uk osv. .
Disse domæner blev derefter tildelt en Guardicore -webserver, og forskerne siger, at de “simpelthen ventede på webanmodninger for forskellige Autodiscover -slutpunkter”.
“Back-off” -proceduren beskrives som “synderen” i lækagen, da fejl i løsning af webadresser baseret på analyserede, brugerleverede e-mailadresser vil resultere i en “fail up”:
“Det vil sige, at resultatet af det næste forsøg på at bygge en Autodiscover URL ville være: http://Autodiscover.com/Autodiscover/Autodiscover.xml,” forklarede forskerne. “Det betyder, at den, der ejer Autodiscover.com, vil modtage alle de anmodninger, der ikke kan nå det oprindelige domæne. […] Til vores overraskelse begyndte vi at se betydelige mængder anmodninger til Autodiscover -slutpunkter fra forskellige domæner, IP -adresser og klienter . “
I alt var Guardicore i stand til at fange 372.072 Windows -domæneoplysninger og 96.671 unikke sæt legitimationsoplysninger fra kilder, herunder Microsoft Outlook og e -mail -klienter mellem 16. april og 25. august 2021. Nogle sæt blev sendt via grundlæggende HTTP -godkendelse.
Guardicore
Kinesiske virksomheder, fødevareproducenter, forsyningsvirksomheder, forsendelses- og logistikorganisationer og mere blev inkluderet.
“Det interessante problem med en stor mængde af de anmodninger, vi modtog, var, at der ikke var et forsøg på klientsiden for at kontrollere, om ressourcen er tilgængelig eller overhovedet findes på serveren, før der sendes en godkendt anmodning,” forklarede teamet.
Guardicore var også i stand til at oprette en angrebsmetode baseret på en angriber, der kontrollerede relevante TLD -domæner, som nedgraderede legitimationsoplysninger, der blev sendt til dem i alternative godkendelsessystemer – f.eks. NTLM og OAuth – til grundlæggende HTTP -godkendelse.
Serper fortalte ZDNet, “protokolfejlen er ikke ny; vi kunne bare udnytte den i massiv skala.”
Tidligere forskning udført af Shape Security og offentliggjort i 2017 undersøger Autodiscover og dets potentiale for misbrug (.PDF). Papiret fokuserer imidlertid på Autodiscover -implementeringer i mobile e -mail -klienter.
Guardicore siger, at det har “indledt ansvarlige afsløringsprocesser med nogle af de berørte leverandører” af den seneste opdagelse.
For at afhjælpe dette problem siger Guardicore, at Autodiscover TLD -domæner bør blokeres af firewalls, og når Exchange -opsætninger konfigureres, skal understøttelse af grundlæggende godkendelse deaktiveres – da dette er “det samme som at sende en adgangskode i klar tekst over tråden.”
ZDNet har kontaktet Microsoft, og vi opdaterer, når vi hører tilbage.
Tidligere og relateret dækning
Tidligere AWS -eksekutiv Charlie Bell til at stå i spidsen for ny Microsoft Security, Compliance, Identity og Management org
Alt hvad du behøver at vide om Microsoft Exchange Server -hack
Storbritannien og Det Hvide Hus bebrejder Kina for Microsoft Exchange Server hack
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Microsoft Security TV Data Management CXO Data Centers