High Tech

Un bogue de découverte automatique Exchange/Outlook a été exposé à plus de 100 000 e-mails

Lignes de code sur fond noir..
Agrandir / Si vous possédez le bon domaine, vous pouvez intercepter des centaines de milliers d’informations d’identification de courrier électronique de tiers innocents, simplement en utilisant un serveur Web standard.

Le chercheur en sécurité Amit Serper de Guardicore a découvert une grave faille dans Microsoft découverte automatique—le protocole qui permet la configuration automatique d’un compte de messagerie avec uniquement l’adresse et le mot de passe requis. La faille permet aux attaquants qui achètent des domaines nommés « autodiscover » – par exemple autodiscover.com ou autodiscover.co.uk – d’intercepter les informations d’identification de compte en texte clair des utilisateurs qui rencontrent des problèmes de réseau (ou dont les administrateurs ont mal configuré le DNS).

Guardicore a acheté plusieurs de ces domaines et les a exploités en tant que pièges d’identification de preuve de concept du 16 avril au 25 août de cette année :

  • Autodiscover.com.br
  • Autodiscover.com.cn
  • Autodiscover.com.co
  • Autodiscover.es
  • Autodiscover.fr
  • Autodiscover.in
  • Autodiscover.it
  • Autodiscover.sg
  • Autodiscover.uk
  • Découverte automatique.xyz
  • Autodiscover.online

Un serveur Web connecté à ces domaines a reçu des centaines de milliers d’informations d’identification de courrier électronique, dont beaucoup sont également utilisées comme informations d’identification de domaine Windows Active Directory, en texte clair. Les informations d’identification sont envoyées par les clients qui demandent l’URL /Autodiscover/autodiscover.xml, avec un en-tête d’authentification HTTP Basic qui inclut déjà les informations d’identification codées en Base64 du malheureux utilisateur.

Trois failles majeures contribuent à la vulnérabilité globale : le comportement de « backoff et d’escalade » du protocole Autodiscover lorsque l’authentification échoue, son incapacité à valider les serveurs Autodiscover avant de donner les informations d’identification des utilisateurs et sa volonté d’utiliser des mécanismes non sécurisés tels que HTTP Basic en premier lieu. .

Échec vers le haut avec la découverte automatique

Le vrai travail du protocole Autodiscover est la simplification de la configuration du compte – vous pouvez peut-être compter sur un utilisateur normal pour se souvenir de son adresse e-mail et de son mot de passe, mais des décennies d’informatique nous ont appris que leur demander de se souvenir et de saisir correctement des détails comme POP3 ou IMAP4, TLS ou SSL, TCP 465 ou TCP 587, et les adresses des serveurs de messagerie réels sont plusieurs ponts trop loin.

Le protocole de découverte automatique permet aux utilisateurs normaux de configurer leurs propres comptes de messagerie sans aide, en stockant toutes les parties non privées de la configuration de compte sur des serveurs accessibles au public. Lorsque vous configurez un compte Exchange dans Outlook, vous lui fournissez une adresse e-mail et un mot de passe : par exemple, bob@example.contoso.com avec mot de passe Hunter2.

Armé de l’adresse e-mail de l’utilisateur, la découverte automatique permet de rechercher des informations de configuration dans un document XML publié. Il essaiera à la fois les connexions HTTP et HTTPS, vers les URL suivantes. (Noter: contoso est un Microsoftisme, représentant un exemple de nom de domaine plutôt qu’un domaine spécifique.)

  • http(s)://Autodiscover.example.contoso.com/Autodiscover/Autodiscover.xml
  • http(s)://example.contoso.com/Autodiscover/Autodiscover.xml

Jusqu’à présent, tout va bien, nous pouvons raisonnablement supposer que toute personne autorisée à placer des ressources dans l’un ou l’autre example.contoso.com ou son Autodiscover sous-domaine a reçu une confiance explicite du propriétaire de example.contoso.com lui-même. Malheureusement, si ces tentatives de connexion initiales échouent, la découverte automatique se retirera et essaiera de trouver des ressources dans un domaine de niveau supérieur.

Dans ce cas, la prochaine étape d’Autodiscover serait de rechercher /Autodiscover/Autodiscover.xml au contoso.com lui-même, ainsi que Autodiscover.contoso.com. En cas d’échec, la découverte automatique échoue à nouveau, cette fois en envoyant des informations d’e-mail et de mot de passe à autodiscover.com lui-même.

Ce serait déjà assez grave si Microsoft possédait autodiscover.com– mais la réalité est considérablement plus trouble. Ce domaine a été initialement enregistré en 2002 et appartient actuellement à une personne ou à une organisation inconnue utilisant le bouclier de confidentialité WHOIS de GoDaddy.

Les résultats de Guardicore

Au cours des quatre mois environ, Guardicore a exécuté son piège d’identification de test, il a collecté 96 671 ensembles uniques de noms d’utilisateur et de mots de passe de messagerie en texte clair. Ces informations d’identification provenaient d’un large éventail d’organisations : sociétés cotées en bourse, fabricants, banques, compagnies d’électricité, etc.

Les utilisateurs concernés ne voient pas les erreurs HTTPS/TLS dans Outlook, lorsque le protocole de découverte automatique échoue à partir de Autodiscover.contoso.com.br à Autodiscover.com.br, la protection offerte par contosola propriété de son propre certificat SSL disparaît. Celui qui a acheté Autodiscover.com.br— dans ce cas, Guardicore — fournit simplement son propre certificat, qui satisfait aux avertissements TLS même s’il n’appartient pas à contoso du tout.

Dans de nombreux cas, Outlook ou un client similaire offrira initialement les informations d’identification de son utilisateur dans un format plus sécurisé, tel que NTLM. Malheureusement, un simple HTTP 401 du serveur Web demandant l’authentification HTTP Basic à sa place est tout ce qui est nécessaire, auquel le client utilisant Autodiscover se conformera (généralement sans erreur ni avertissement à l’utilisateur) et enverra les informations d’identification en texte brut codé en Base64, entièrement lisible par le serveur Web répondant à la demande de découverte automatique.

Conclusion

La vraie mauvaise nouvelle ici, c’est que, du point de vue du grand public, il est aucune stratégie d’atténuation pour ce bogue de découverte automatique. Si l’infrastructure de découverte automatique de votre organisation connaît une mauvaise journée, votre client « échouera » comme décrit, exposant potentiellement vos informations d’identification. Cette faille n’a pas encore été corrigée. Selon Jeff Jones, directeur principal de Microsoft, Guardicore a divulgué publiquement la faille avant de la signaler à Microsoft.

Si vous êtes un administrateur réseau, vous pouvez atténuer le problème en refusant les demandes DNS pour les domaines de découverte automatique. Si chaque demande de résolution d’un domaine commençant par « découverte automatique » est bloquée, le protocole de découverte automatique ne pourra pas divulguer les informations d’identification. Encore faut-il faire attention : vous pourriez être tenté de « bloquer » de telles requêtes en retournant 127.0.0.1, mais cela peut permettre à un utilisateur intelligent de découvrir l’adresse e-mail et/ou les informations d’identification Active Directory de quelqu’un d’autre, s’il parvient à tromper la cible pour qu’elle se connecte au PC de l’utilisateur.

Si vous êtes un développeur d’applications, la solution est plus simple : n’implémentez pas la partie défectueuse de la spécification Autodiscover en premier lieu. Si votre application ne tente jamais de s’authentifier auprès d’un domaine « en amont », elle ne divulguera pas les informations d’identification de vos utilisateurs via la découverte automatique.

Pour plus de détails techniques, nous recommandons fortement le propre de Guardicore article de blog ainsi que la découverte automatique de Microsoft Documentation.

Image de la liste par Just_Super via Getty Images


Source link

Articles similaires

Bouton retour en haut de la page