Cybersecurity-researchere har været i stand til at fange hundredtusindvis af Windows-domæne- og applikationsoplysninger på grund af design og implementering af Autodiscover-protokollen, der bruges af Microsoft Exchange.
Ifølge Microsoft giver Exchange Autodiscover-tjenesten “en nem måde for klientprogrammet at konfigurere sig selv med minimalt brugerinput.” Dette giver brugerne mulighed for f.eks. at konfigurere deres Outlook-klient ved kun at skulle angive deres brugernavn og adgangskode.
Tilbage i 2017 advarede kritikkere om, at implementeringsproblemer relateret til Autodiscover på mobile e-mail-klienter kunne forårsage informationslækager. Efterfølgende blev de sårbarheder, der blev afsløret på det tidspunkt, patched. En analyse foretaget af cloud- og datacentersikkerhedsfirmaet Guardicore tidligere på året viste imidlertid, at der stadig er nogle alvorlige problemer med design og implementering af Autodiscover.
Problemet er relateret til en “back-off” procedure. Når Autodiscover bruges til at konfigurere en klient, forsøger klienten at opbygge en URL-adresse baseret på den e-mail-adresse, som brugeren har angivet. Webadressen ser nogenlunde sådan ud: https://Autodiscover.example.com/Autodiscover/Autodiscover.xml eller https://example.com/Autodiscover/Autodiscover.xml.
Men hvis ingen af webadresserne reagerer, starter back-off-mekanismen og forsøger at kontakte en WEBADRESSE, der har følgende format: http://Autodiscover.com/Autodiscover/Autodiscover.xml.
“Det betyder, at den der ejer Autodiscover.com vil modtage alle de anmodninger, der ikke kan nå det oprindelige domæne,” har Guardicore forklaret.
Virksomheden registrerede næsten et dusin Autodiscover-domæner (f.eks. Autodiscover.com.cn, Autodiscover.es, Autodiscover.in, Autodiscover.uk) og tildelte dem til en webserver under dens kontrol.
Mellem den 16. april 2021 og den 25. august 2021 hentede deres server mere end 370.000 Windows-domænelegitimationsoplysninger og over 96.000 unikke legitimationsoplysninger, der blev lækket fra programmer som Outlook og mobile mailklienter.
Legitimationsoplysningerne kom fra børsnoterede virksomheder, fødevareproducenter, kraftværker, investeringsbanker, forsendelses- og logistikfirmaer, ejendomsselskaber og mode- og smykkefirmaer.
“Dette er et alvorligt sikkerhedsproblem, hvis en hacker kan kontrollere sådanne domæner eller har mulighed for at ‘sniffe’ trafik i det samme netværk. Hermed kan de fange domænelegitimationsoplysninger som almindelig tekst (HTTP-basisgodkendelse), der overføres over ledningen. Desuden, hvis hackeren har DNS-forgiftningskapaciteter i stor skala (såsom en nationalstat angriber), kunne de systematisk hente utætte adgangskoder gennem en storstilet DNS-forgiftning kampagne baseret på disse Autodiscover TLDs, “sagde Guardicore.
Researchere har også udtænkt et angreb, der kan bruges til at nedgradere en klients godkendelsesordning, så en hacker kan opnå legitimationsoplysninger i klar tekst. Klienten vil i første omgang forsøge at bruge et sikkert godkendelsesskema, f.eks. NTLM eller OAuth, som beskytter legitimationsoplysninger mod uautoriseret adgang, men angrebet vil medføre, at godkendelsen nedgraderes til HTTP-basisgodkendelse, hvor legitimationsoplysninger sendes i klartekst.
Guardicore bemærkede, at datalækage opstår på grund af, hvordan protokollen implementeres af applikationsudviklere. De kan forhindre det i at konstruere webadresser, der kan misbruges af hackere.
Kilde: Security Week