El error de Microsoft Exchange revela ~ 100,000 credenciales de dominio de Windows

intercambio de microsoft

Una falla de diseño no corregida en la implementación de Autodiscover de Microsoft Exchange ha resultado en una fuga de aproximadamente 100,000 inicios de sesión y contraseñas de dominios de Windows en todo el mundo.

«Este es un problema de seguridad grave porque si un atacante puede controlar dichos dominios o tiene la capacidad de ‘olfatear’ el tráfico en la misma red, puede interceptar el texto del dominio en texto sin formato (autenticación básica HTTP), que se transmite por cable. «, Dijo Amit Serper de Guardicore en un informe técnico.

«Además, si un atacante tiene capacidades de envenenamiento de DNS a gran escala (como un atacante nacional), podría absorber sistemáticamente contraseñas filtradas a través de una campaña contra el envenenamiento a gran escala basada en estos TLD de detección automática. [top-level domains]. «

Exchange Autodiscover permite a los usuarios configurar aplicaciones como Microsoft Outlook con una intervención mínima del usuario, lo que les permite usar solo una combinación de direcciones de correo electrónico y contraseñas para obtener configuraciones predefinidas adicionales necesarias para configurar sus clientes de correo electrónico.

Una debilidad que ha descubierto Guardicore es la implementación específica de Autodiscover basada en el protocolo XML POX (o «xml sin formato»), que hace que las solicitudes web de dominios de Autodiscover se escapen fuera del dominio del usuario pero en el mismo dominio de nivel superior. .

En un ejemplo hipotético en el que la dirección de correo electrónico del usuario es «usuario@ejemplo.com», el cliente de correo electrónico usa Detección automática para crear una URL para recuperar datos de configuración usando cualquiera de las siguientes combinaciones de dominio de correo electrónico, subdominio y cadena de ruta. una instancia del algoritmo de «retroceso» –

  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://ejemplo.com/Autodiscover/Autodiscover.xml
  • https://ejemplo.com/Autodiscover/Autodiscover.xml

«Este mecanismo de ‘retroceso’ es el culpable de esta filtración, porque siempre intenta resolver la parte de detección automática del dominio y siempre intentará ‘fallar’, por así decirlo», explicó Serper. «Esto significa que el resultado de otro intento de crear una URL de detección automática sería: ‘https://Autodiscover.com/Autodiscover/Autodiscover.xml». Esto significa que cualquier persona que sea propietaria de Autodiscover.com recibirá todas las solicitudes que no lleguen al dominio original».

Armado con este descubrimiento y registro de una serie de dominios de detección automática de nivel superior (por ejemplo, Autodiscover.com[.]br, Autodescubrimiento.com[.]cn, Detección automática[.]en, etc.) como honeypots, Guardicore afirmó que puede acceder a las solicitudes de punto final de detección automática de varios dominios, direcciones IP y clientes, agregando 96,671 credenciales únicas enviadas desde Outlook, clientes de correo electrónico móvil y otras aplicaciones vinculadas a Microsoft Exchange en un período de cuatro. mes del 16 de abril de 2021 al 25 de agosto de 2021.

Los dominios de estas credenciales filtradas pertenecían a varias entidades de varios verticales, incluidas corporaciones que cotizan en bolsa en China, bancos de inversión, fabricantes de alimentos, centrales eléctricas y empresas inmobiliarias, señaló la empresa de seguridad cibernética con sede en Boston.

Para empeorar las cosas, los investigadores desarrollaron un ataque «ol ‘switcheroo» que implicaba enviar a un cliente una solicitud de cambio a un esquema de autenticación más débil (es decir, autenticación básica HTTP) en lugar de métodos seguros como OAuth o NTLM, lo que provocó el envío del correo electrónico. correo. una aplicación para enviar credenciales de dominio en texto claro.

Para mitigar las fugas de detección automática, se recomienda que los usuarios de Exchange deshabiliten el soporte de autenticación básica y agreguen una lista de todos los dominios Autodiscover.TLD posibles al archivo de host local o a la configuración del firewall para evitar la resolución de dominios de detección automática no deseada. También se recomienda a los proveedores de software que eviten implementar un procedimiento de «retroceso» que falla hacia arriba al crear dominios imprevistos como «Detección automática».

«A menudo, los atacantes intentan que los usuarios les envíen sus credenciales, utilizando una variedad de técnicas, ya sean técnicas o ingeniería social», dijo Serper. «Sin embargo, este incidente nos muestra que las contraseñas pueden escapar fuera del perímetro de la organización a través de un protocolo diseñado para agilizar las operaciones de TI con respecto a la configuración del cliente de correo electrónico sin que nadie en el departamento de TI o seguridad lo sepa. hace hincapié en la importancia de una segmentación adecuada y de confianza cero».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática