Microsoft, Microsoft Exchange Autodiscover protokolünün hatalı uygulamalarından gönderilen Windows kimlik bilgilerini çalmak için kullanılan internet alanlarını kaydetmek için acele ediyor.
Pazartesi günü, Guardicore'un Amit Sunucusu, konunun 100.000 benzersiz pencereye ve e-posta kimlik bilgilerine yaklaşmanın nasıl ortaya çıktığına dair yeni araştırmalar yayınladı.
Kullanıcılar Exchange hesaplarını e-posta istemcilerine göre yapılandırdığında, uygulama, kuruluşları için Microsoft Exchange sunucularıyla ilişkili çeşitli Autodiscover URL'lerini kimlik doğrulamaya çalışacaktır. Başarılı bir kimlik doğrulaması meydana gelirse, Exchange Server, posta istemcisinin kullanması gereken ayarları geri gönderir.
Bununla birlikte, Microsoft Outlook ve Office 365'in bazı sürümleri de dahil olmak üzere birçok posta istemcisi, AutoDiscover protokolünü yanlış bir şekilde uygulamak ve üçüncü taraf otomatik aksatma ile kimlik doğrulaması yapmalarını ve kimlik doğrulaması yapmalarını sağlar. [TLD] Bir kullanıcının kuruluşuyla ilgili olmayan URL'ler.
Bu etki alanlarının örnekleri arasında Autodiscover.com, autodiscover.uk ve autodiscover.de bulunur.
Tehdit aktörleri Autodiscover'a kayıt olabilirler. [TLD] Etki Alanları ve Kuruluşa karşı saldırılar için sızdırılmış pencereleri ve e-posta kimlik bilgilerini toplamaya başlar.
Arızalı Microsoft Autodiscover protokolü uygulamaları ile ilgili araştırmalar Windows kimlik bilgilerini sızdırmak yeni değildir ve Microsoft, yıllarca konunun farkındadır.
Araştırma ilk önce bir Black Hat Asya 2017 brifinginde, sızıntıları açıklayan resmi bir araştırma makalesiyle birlikte açıklandı. Diğer araştırmacılar ayrıca, meseleyi geçmişte Microsoft'a bildirdiklerini ve bir hata olmadığını söylediler.
Ancak, Serper raporunu piyasaya sürdükten sonra, Microsoft, bilgilerin onlar için yeni olduğunu belirten BleepingComputer'a bir açıklama yaptı.
"Aktif olarak araştırıyoruz ve müşterileri korumak için uygun adımlar atıyoruz. Koordineli güvenlik açığı ifşa etmeyi, müşteriler için gereksiz riskleri düşüren bir endüstri standardı, işbirlikçi bir yaklaşım, meselelerden önce müşteriler için gereksiz riski azaltır. Ne yazık ki, bu konu daha önce bize bildirilmedi Araştırmacı Pazarlama ekibi medyaya sundu, bu yüzden bugün iddiaları öğrendik. " Jeff Jones, Sr. Direktörü, Microsoft.
O zamandan beri, Microsoft herhangi bir Autodiscover kaydetmek için acele ediyor. [TLD] Etki Alanları, Windows kimlik bilgilerini çalmak için kullanılmalarını engellemek için bulabilir.
Bu yazı sırasında, BleepingComputer, Microsoft'un aşağıda listelenen Autodiscover ile ilgili en az 68 etki alanı kaydettiğini onaylamıştır.
BleepingComputer ayrıca, 22 Eylül'den bu yana 22 Eylül'den bu yana kayıt olan otuz sekizden bu konuda kayıtlı olan diğer alanları biliyor.
Gerçek kayıtlı etki alanlarının sayısı çok daha büyük, çünkü BleepingComputer, Microsoft, Autodiscover.com.es ve autodiscover.org.es gibi aynı TLD için birden fazla Autodiscover etki alanını gördüğü için.
Bir etki alanı, autodiscover.ch, en az 2015'ten bu yana tescil edilmiştir ve MicrosoftOnline.com'u DNS sunucuları olarak kullanır, ancak kimin sahip olduğu açık değildir.
Autodiscover'ı kaydettirirken. [TLD] Etki Alanları, bazı sızıntıların bazılarını engellerken, Microsoft'un Microsoft Outlook ve Office 365 Posta istemcilerindeki fakir Autodiscover uygulaması için düzeltmeler yapılması gerekecektir.
Diğer Microsoft dışı uygulamalar da hatalı protokol uygulamalarına sahip olduğundan, Microsoft ayrıca AutoDiscover URL'leri nasıl doğru şekilde oluşturulacağı konusunda rehberlik yapmak zorunda kalacak, böylece kimlik bilgilerinin güvenilmez alanlara gönderilmemesidir.
Microsoft Exchange Autodiscover Bugs Kaçak 100K Windows Kimlik Bilgileri
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Windows 365, Microsoft Azure kimlik bilgilerini düz metin olarak gösteriyor
Conti Ransomware artık Proxyshell'le Exchange Sunucularını Hackliyor
Microsoft Exchange ProxyToken Hatası, bilgisayar korsanlarının kullanıcı e-postasını çalmasına izin verebilir
Kaynak: Bleeping Computer