in

El error de Microsoft Exchange expone ~ 100,000 credenciales de dominio de Windows


Microsoft Exchange

Una falla de diseño sin parchear en la implementación del protocolo de detección automática de Microsoft Exchange ha dado lugar a la filtración de aproximadamente 100.000 nombres de inicio de sesión y contraseñas para dominios de Windows en todo el mundo.

«Este es un problema de seguridad serio porque si un atacante puede controlar dichos dominios o ‘rastrear’ el tráfico en la misma red, puede capturar las credenciales de dominio de texto sin formato (autenticación básica HTTP) que se transmiten a través del cable», dijo Amit Serper de Guardicore en un informe técnico.

Además, si el atacante tiene amplias capacidades de envenenamiento de DNS (p. Ej. [top-level domains]. «

El servicio de detección automática de Exchange permite a los usuarios configurar aplicaciones como Microsoft Outlook con una entrada mínima del usuario, de modo que solo se pueda usar una combinación de direcciones de correo electrónico y contraseñas para obtener otras configuraciones predefinidas que se utilizan para configurar sus clientes de correo electrónico requeridos.

La vulnerabilidad descubierta por Guardicore radica en una implementación específica de Autodiscover basada en el protocolo POX XML (también conocido como «plain old XML»), lo que significa que la web solicita a Autodiscover dominios fuera del dominio del usuario, pero en el mismo top- nivel de dominio, se han filtrado.

En un ejemplo hipotético en el que la dirección de correo electrónico de un usuario es user@example.com, el cliente de correo electrónico utiliza el servicio Detección automática para enviar una URL por correo electrónico para obtener información de configuración utilizando una de las siguientes combinaciones Dominio, subdominio y a. para crear una cadena de ruta; de lo contrario, crea una instancia de un algoritmo de «retroceso» –

  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://example.com/Autodiscover/Autodiscover.xml
  • https://example.com/Autodiscover/Autodiscover.xml

«Este mecanismo de ‘retroceso’ es el culpable de esta filtración, ya que siempre está tratando de resolver la porción de autodescubrimiento del dominio y, por así decirlo, siempre tratando de ‘fallar'», explicó Serper. «Es decir, el resultado del próximo intento de crear una URL de detección automática sería: ‘https://Autodiscover.com/Autodiscover/Autodiscover.xml’. Esto significa que el propietario de Autodiscover.com recibirá cualquier solicitud que el dominio original no pueda alcanzar «.

Prevenir ataques de ransomware

Armado con este descubrimiento y registrando una serie de dominios de nivel superior de Detección automática (por ejemplo, Detección automática.com[.]br, Autodiscover.com[.]cn, detección automática[.]in, etc.) como honeypots, Guardicore dijo que podía acceder a las solicitudes realizadas a los puntos finales de detección automática desde varios dominios, direcciones IP y clientes, y a la red 96,671 credenciales únicas enviadas por Outlook, clientes de correo electrónico móvil y otras aplicaciones que interactúan con el servidor Exchange de Microsoft. fueron enviados por un período de cuatro meses entre el 16 de abril de 2021 y el 25 de agosto de 2021.

Los dominios de estas credenciales filtradas pertenecían a múltiples compañías en múltiples industrias, incluidas compañías que cotizan en bolsa en China, bancos de inversión, fabricantes de alimentos, plantas de energía y firmas inmobiliarias, descubrió la firma de ciberseguridad con sede en Boston.

Para empeorar las cosas, los investigadores desarrollaron un ataque «ol’switcheroo» en el que se enviaba una solicitud al cliente para utilizar un esquema de autenticación más débil (es decir, autenticación básica HTTP) en lugar de métodos más seguros como OAuth o NTLM downgrade y se solicitaba el correo electrónico. la aplicación para enviar las credenciales del dominio en texto sin cifrar.

«A menudo, los atacantes intentan engañar a los usuarios para que les envíen sus credenciales mediante el uso de diversas técnicas, ya sean técnicas o de ingeniería social», dijo Serper. “Sin embargo, este incidente nos muestra que un protocolo diseñado para agilizar las operaciones de TI relacionadas con la configuración del cliente de correo electrónico permite que las contraseñas se filtren fuera de la organización sin que nadie de TI o de seguridad se dé cuenta de algo de esto, subraya la importancia de una segmentación adecuada y cero confianza. «



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Error en macOS Finder permite la ejecución remota de código

Cómo la «detección automática» de Outlook puede filtrar sus contraseñas, y cómo detenerlo, Naked Security