Informatique

Une faille dans Microsoft Autodiscover permet le vol

Une faille dans Microsoft Autodiscover permet le vol d'identifiants


Un « défaut de conception » dans le protocole Autodiscover de Microsoft a fait l’objet d’une enquête par des chercheurs qui ont découvert qu’ils étaient en mesure d’exploiter ce comportement pour récolter des identifiants de domaine.


Mercredi, Amit Serper, AVP of Security Research de Guardicore Labs, a publié les résultats d’une analyse d’Autodiscover, un protocole utilisé pour s’authentifier auprès des serveurs Microsoft Exchange et pour configurer l’accès des clients.


Il existe différentes itérations du protocole disponibles pour les utilisateurs. Guardicore a exploré une implémentation d’Autodiscover basée sur POX XML et a trouvé un « défaut de conception » qui peut être exploité pour « voler » des requêtes web vers des domaines Autodiscover en dehors du domaine de l’utilisateur, tant qu’ils sont dans le même domaine de premier niveau (TLD).

 Une approche faillible


Pour tester le protocole, l’équipe a d’abord enregistré et acheté un certain nombre de domaines avec un suffixe TLD, dont Autodiscover.com.br, Autodiscover.com.cn, Autodiscover.com.fr, et Autodiscover.com.uk, etc.


Ces domaines ont ensuite été assignés à un serveur web Guardicore, et les chercheurs affirment qu’ils « attendaient simplement l’arrivée de requêtes web pour divers terminaux Autodiscover. »

La faille réside dans la façon dont Autodiscover traite les requetes envoyées par les utilisateurs de clients de messagerie qui tentent de se connecter à un serveur exchange. Lorsque la requete envoyée par le client ne produit pas de reponse, le protocole tente alors d’envoyer la requête vers le nom de domaine Autodiscover.com, qui peut être detenu par des tiers. 


« Ce qui signifie que le résultat de la prochaine tentative de construction d’une URL Autodiscover sera : http://Autodiscover.com/Autodiscover/Autodiscover.xml« , expliquent les chercheurs. « Cela signifie que le propriétaire d’Autodiscover.com recevra toutes les demandes qui ne peuvent pas atteindre le domaine d’origine. À notre grande surprise, nous avons commencé à voir des quantités importantes de requêtes vers les points de terminaison Autodiscover provenant de divers domaines, adresses IP et clients. »


Au total, Guardicore a pu capturer 372 072 identifiants de domaine Windows et 96 671 identifiants uniques provenant de sources telles que Microsoft Outlook et des clients de messagerie entre le 16 avril et le 25 août 2021. Certains ont été envoyés via l’authentification de base HTTP.


screenshot-2021-09-20-at-14-21-26.png


Guardicore


Des entreprises chinoises, des fabricants de produits alimentaires, des entreprises de services publics, des organisations d’expédition et de logistique, et bien d’autres encore, ont été inclus.

Peu de vérifications coté client


« Le problème intéressant d’une grande partie des demandes que nous avons reçues était qu’il n’y avait aucune tentative du côté du client de vérifier si la ressource est disponible ou même existe sur le serveur avant d’envoyer une requête d’authentification », a expliqué l’équipe.


Guardicore a également pu créer une méthode d’attaque basée sur un attaquant contrôlant les domaines TLD pertinents qui rétrogradaient les identifiants qui leur étaient envoyés dans des systèmes d’authentification alternatifs — tels que NTLM et OAuth — en authentification HTTP de base.


Serper a déclaré à ZDNet que « la faille du protocole n’est pas nouvelle ; nous avons simplement été en mesure de l’exploiter à grande échelle ».


Des recherches antérieures menées par Shape Security et publiées en 2017 explorent Autodiscover et son potentiel d’abus. (.PDF). Cependant, le document se concentre sur les implémentations d’Autodiscover dans les clients de messagerie mobile.


Guardicore dit avoir « lancé des processus de divulgation responsable avec certains des fournisseurs concernés » par la dernière découverte.


Afin d’atténuer le problème, Guardicore indique que les domaines TLD Autodiscover doivent être bloqués par des pare-feu et que, lors de la configuration d’Exchange, la prise en charge de l’authentification de base doit être désactivée, car cela revient à « envoyer un mot de passe en clair sur le réseau ».


« Nous enquêtons activement et prendrons les mesures appropriées pour protéger les clients », a déclaré Jeff Jones, Sr. Director chez Microsoft, a déclaré dans un communiqué. « Nous sommes engagés dans la divulgation coordonnée des vulnérabilités, une approche collaborative et standard de l’industrie qui réduit les risques inutiles pour les clients avant que les problèmes ne soient rendus publics. Malheureusement, ce problème ne nous a pas été signalé avant que l’équipe de marketing du chercheur ne le présente aux médias, si bien que nous avons appris les revendications aujourd’hui. »


Source : « ZDNet.com »




Source link

Articles similaires

Bouton retour en haut de la page