Microsoft Exchange'nin Autodiscover özelliğinin uygulanmasındaki hatalar, dünya çapında Windows etki alanları için yaklaşık 100.000 giriş adını ve şifresini sızdırdı.
Guardicore'un Güvenlik Araştırması AVP olan Amit Server'ın yeni bir raporunda, araştırmacı, Microsoft Exchange'deki bir hata yerine AutoDiscover protokolünün yanlış uygulanmasının, Windows kimlik bilgilerinin üçüncü taraf güvenilmeyen web sitelerine gönderilmesine neden olduğunu ortaya koyuyor.
Sorunun etine ulaşmadan önce, Microsoft Exchange'in Autodiscover protokolüne ve nasıl uygulandığına hızlı bir şekilde bakmak önemlidir.
Microsoft Exchange, kuruluşlarının önceden tanımlanmış posta ayarları ile Microsoft Outlook gibi bir kullanıcının posta istemcisini otomatik olarak yapılandırmak için bir Autodiscover özelliği kullanır.
Bir Exchange kullanıcısı e-posta adresini ve şifrelerini Microsoft Outlook gibi bir e-posta istemcisine girdiğinde, posta istemcisi daha sonra çeşitli Exchange Autodiscover URL'lerini kimlik doğrulamaya çalışır.
Bu kimlik doğrulama işlemi sırasında, oturum açma adı ve şifresi otomatik olarak Autodiscover URL'sine gönderilir.
Bağlanılacak Autodiscover URL'leri, istemcide yapılandırılmış e-posta adresinden türetilir.
Örneğin, Serper 'amit@example.com' e-postasını kullanarak Autodiscover özelliğini test ettiğinde, posta istemcisinin aşağıdaki AutoDiscover URL'lerine kimlik doğrulamaya çalıştığını buldu:
Posta istemcisi, Microsoft Exchange Server'a başarıyla doğrulanana kadar her bir URL'yi dener ve Configuration Bilgileri istemciye geri gönderildi.
Müşteri yukarıdaki URL'lere kimlik doğrulaması yapamadıysa, Serper, Microsoft Outlook da dahil olmak üzere bazı posta istemcilerinin "geri kapanma" prosedürü yapacağını buldu. Bu prosedür, Autodiscover gibi doğrulamak için ek URL'ler oluşturmaya çalışır. [TLD] alanı, burada TLD'nin kullanıcının e-posta adresinden türetildiği.
Bu özel durumda, üretilen URL, http://autodiscover.com/autodiscover/autodiscover.xml dosyasıdır.
Autodiscover protokolünün bu yanlış uygulanması, posta istemcilerinin Autodiscover.com gibi güvenilmeyen alanlara kimlik doğrulamasına neden oluyor, bu da sorunun başlayacağı yer.
E-posta kullanıcının kuruluşu bu etki alanına sahip olmadığı için ve kimlik bilgileri otomatik olarak URL'ye gönderilir, etki alanı sahibinin kendilerine gönderilen herhangi bir kimlik bilgilerini toplamasına izin verir.
Bunu test etmek için Guardicore, aşağıdaki alanları kaydetti ve Microsoft Exchange Autodiscover özelliği tarafından kaç kimliğin sızdırıldığını görmek için her birinde Web Sunucuları ayarlayın.
Bu alanlar kaydedildikten ve kullandıktan sonra, Serper, Microsoft Outlook da dahil olmak üzere e-posta istemcilerinin, temel kimlik doğrulamaları kullanarak birçok hesap kimlik bilgilerini gönderdiğini, onları kolayca görüntüleyebilir hale getirdiğini buldu.
NTLM ve OAUTH kullanarak kimlik bilgilerini gönderen Microsoft Outlook istemcileri için, Serper, müşterinin talebi temel bir kimlik doğrulama isteğine düşürmesini zorlaştıracak olan "OL 'Switcheroo" dübeldi.
Bu, bir kez daha araştırmacının kullanıcı için ClearText parolalarına erişmesine izin verir.
Bu testleri 20 Nisan 2021 ile 25 Ağustos 2021 arasında yürütürken, Guardicore sunucuları A:
Guardicore, kimlik bilgilerini gönderen alanların şunları söylediğini söylüyor:
Serper, organizasyonların ve geliştiricilerin bu Microsoft Exchange Autodiscover sızıntılarını azaltmak için kullanabilecekleri birkaç öneride bulundu.
Microsoft Exchange'ü kullanan kuruluşlar için, tüm Otomatik Kesme işlemlerini engellemelisiniz. [TLD] Güvenlik Duvarı'ndaki veya DNS sunucunuzdaki etki alanları Guardicore, erişim kuralları oluşturmak için kullanılabilecek tüm AutoDiscover etki alanlarını içeren bir metin dosyası oluşturdu.
Örgütlerin de temel kimlik doğrulamasını devre dışı bırakmanız önerilir, çünkü esasen ClearText'te kimlik bilgilerini gönderir.
Yazılım geliştiricileri için, Serper, kullanıcıların posta istemcilerinin AutoDiscover URL'lerini asla AutoDiscover'a bağlanmaz hale getirirken, AutoDiscover URL'lerini yaparken yukarı doğru başarısız olmalarını önerir. [TLD] Etki Alanları.
Microsoft da dahil olmak üzere geliştiriciler neden güvenilmeyen Autodiscover'a geri dönüyorlar. [TLD] Etki Alanları, Microsoft'un AutoDiscover protokolü üzerindeki belgeleri bu alanlardan bahsetmediği için bir gizem kalıyor.
Serper, "Birçok geliştirici, hepsinin aynı problemi olan üçüncü taraf kütüphanelerini kullanıyor. Geliştiricilerin büyük çoğunluğunun bunun farkında olmadığı konusunda bahse girmeye hazırım" dedi.
9/22/21 güncelleme: Hata hakkında Microsoft'a ulaştıktan sonra, aşağıdaki ifade verildi:
"Aktif olarak araştırıyoruz ve müşterileri korumak için uygun adımlar atıyoruz. Koordineli güvenlik açığı ifşa etmeyi, müşteriler için gereksiz riskleri düşüren bir endüstri standardı, işbirlikçi bir yaklaşım, meselelerden önce müşteriler için gereksiz riski azaltır. Ne yazık ki, bu konu daha önce bize bildirilmedi Araştırmacı Pazarlama ekibi medyaya sundu, bu yüzden bugün iddiaları öğrendik. " Jeff Jones, Sr. Direktörü, Microsoft.
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Windows PetitPotam saldırıları yeni yöntem kullanılarak engellenebilir
HACKING GROUP Ikinci el araç Proxylogon Worldwide Breach Otelleri
Kötü amaçlı yazılımlar, hatalı biçimlendirilmiş sertifikalarla Windows doğrulama
Windows 11 yalnızca bir Intel 7. Gen CPU'yu desteklemek için, AMD ZEN 1 CPU'lar yok
Kaynak: Bleeping Computer