Error en la detección automática de Exchange / Outlook con más de 100.000 contraseñas de correo electrónico


Líneas de código sobre un fondo negro.
Agrandar / Si tiene el dominio correcto, puede interceptar cientos de miles de credenciales de correo electrónico de terceros inocentes simplemente ejecutando un servidor web estándar.

El investigador de seguridad de Guardicore, Amit Serper, descubrió una falla fatal en la detección automática de Microsoft, el protocolo que permite que una cuenta de correo electrónico se configure automáticamente con solo la dirección y contraseña requeridas. El error permite a los atacantes comprar dominios llamados «autodiscover» – por ejemplo autodiscover.com o autodiscover.co.uk – para interceptar las credenciales de cuenta de texto sin cifrar de usuarios que tienen problemas de red (o cuyos administradores han configurado DNS incorrectamente).

Guardicore compró varios de estos dominios y los operó como trampas de credenciales de prueba de concepto del 16 de abril al 25 de agosto de este año:

  • Autodiscover.com.br
  • Autodiscover.com.cn
  • Autodiscover.com.co
  • Autodiscover.es
  • Autodiscover.fr
  • Autodiscover.in
  • Autodiscover.it
  • Autodiscover.sg
  • Autodiscover.de
  • Autodiscover.xyz
  • Autodiscover.online

Un servidor web conectado a estos dominios recibió cientos de miles de credenciales de correo electrónico, muchas de las cuales también se utilizan como credenciales de dominio de Windows Active Directory, en texto sin cifrar. Las credenciales se envían desde clientes que solicitan la URL. /Autodiscover/autodiscover.xml, con un encabezado de autenticación HTTP Basic que ya contiene las credenciales codificadas en base64 del desafortunado usuario.

Tres fallas principales contribuyen a la vulnerabilidad general: el comportamiento de «retroceso y escalada» del protocolo de detección automática cuando falla la autenticación, su falla para validar los servidores de detección automática antes de revelar las credenciales del usuario y su disposición a utilizar mecanismos inseguros como HTTP Basic.

Falló con la detección automática

El verdadero trabajo del protocolo de detección automática es simplificar la configuración de la cuenta; es posible que pueda confiar en que un usuario normal recuerde su dirección de correo electrónico y contraseña, pero décadas de informática nos han enseñado que se preocupan por los detalles como POP3 o IMAP4, TLS. . recuerde e introdúzcalos correctamente o SSL, TCP 465 o TCP 587, y las direcciones de los servidores de correo reales son varios puentes demasiado lejos.

El protocolo de detección automática permite a los usuarios normales configurar sus propias cuentas de correo electrónico sin ayuda almacenando todas las partes no privadas de la configuración de la cuenta en servidores de acceso público. Cuando configure una cuenta de Exchange en Outlook, asígnele una dirección de correo electrónico y una contraseña: por ejemplo: bob@example.contoso.com con contraseña Hunter2.

Armado con la dirección de correo electrónico del usuario, Detección automática busca información de configuración en un documento XML publicado. Intentará conexiones HTTP y HTTPS a las siguientes URL. (Nota: contoso es un microsoftismo que es más un ejemplo de nombre de dominio que un dominio específico).

  • http (s): //Autodiscover.example.contoso.com/Autodiscover/Autodiscover.xml
  • http (s): //example.contoso.com/Autodiscover/Autodiscover.xml

Hasta ahora todo bien: podemos suponer razonablemente que cualquiera puede colocar recursos en cualquiera de los dos example.contoso.com o es Autodiscover el subdominio era propiedad de. otorgada confianza explícita example.contoso.com Si esos primeros intentos de conexión fallan, la detección automática se restablecerá e intentará encontrar recursos en un dominio principal.

En este caso, el siguiente paso en la detección automática sería encontrar /Autodiscover/Autodiscover.xml A contoso.com a ti mismo también Autodiscover.contoso.com. Si eso falla, la detección automática falla nuevamente, esta vez se envía información de correo electrónico y contraseña a. enviado autodiscover.com uno mismo.

Eso sería bastante malo si Microsoft fuera el propietario. autodiscover.com– pero la realidad es mucho más oscura. Este dominio se registró originalmente en 2002 y actualmente es propiedad de una persona u organización desconocida que utiliza el Escudo de privacidad Whois de GoDaddy.

Resultados de Guardicore

En los aproximadamente cuatro meses que Guardicore ejecutó su trampa de credenciales de prueba, recopiló 96,671 conjuntos únicos de nombres de usuario y contraseñas de correo electrónico de texto sin formato. Estas referencias provienen de una amplia variedad de organizaciones: empresas que cotizan en bolsa, fabricantes, bancos, servicios públicos y más.

Los usuarios afectados no verán los errores HTTPS / TLS en Outlook, cuando el protocolo de detección automática falla Autodiscover.contoso.com.br para Autodiscover.com.br, la protección por contosos La propiedad de su propio certificado SSL expira. Quién compró Autodiscover.com.br– en este caso Guardicore – simplemente proporciona su propio certificado que cumple con las advertencias TLS aunque no pertenezca contoso en absoluto.

En muchos casos, Outlook o un cliente similar ofrecerá inicialmente las credenciales de su usuario en un formato más seguro, como NTLM. Desafortunadamente, un simple HTTP 401 del servidor web es suficiente, solicitando la autenticación HTTP básica en su lugar, después de lo cual el cliente que usa Autodiscover cumple (generalmente sin error ni advertencia al usuario) y envía las credenciales en texto sin formato codificado en Base64. totalmente legible por el servidor web que responde a la solicitud de detección automática.

Conclusiones

La realmente mala noticia aquí es que es desde una perspectiva pública. es no hay estrategia de mitigación para este error de detección automática. Si la infraestructura de detección automática de su organización está teniendo un mal día, su cliente «fallará» como se describe, revelando potencialmente sus credenciales. Este error aún no se ha corregido; según el director senior de Microsoft, Jeff Jones, Guardicore reveló públicamente el error antes de informarlo a Microsoft.

Si es administrador de red, puede mitigar el problema rechazando las solicitudes de DNS para dominios de detección automática. El bloqueo de cualquier solicitud para resolver un dominio que comience con «Detección automática» evita que el registro de Detección automática pierda las credenciales. Pero incluso entonces, debe tener cuidado: puede tener la tentación de «bloquear» tales solicitudes regresando. 127.0.0.1, pero esto podría permitir a un usuario inteligente descubrir el correo electrónico y / o las credenciales de Active Directory de otra persona si pueden engañar al objetivo para que inicie sesión en la PC del usuario.

Si es un desarrollador de aplicaciones, la solución es más simple: ni siquiera implemente la parte mala de la especificación de detección automática. Si su aplicación no intenta autenticarse en un dominio «ascendente» en absoluto, no revelará las credenciales de sus usuarios a través de Detección automática.

Para obtener más detalles técnicos, recomendamos la publicación de blog de Guardicore y la documentación de detección automática de Microsoft.

Imagen de oferta de Just_Super a través de Getty Images

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *