Autodiscover: Exchange-protocol lekt Windows-inloggegevens in het openbare netwerk


De e-mailprogramma’s Outlook en Exchange van Microsoft hebben een functie die het voor nieuwe gebruikers gemakkelijker moet maken om voor de eerste keer hun e-mailaccount in te stellen: de gebruiker voert bijvoorbeeld gewoon zijn e-mailadres in en het programma vindt dan de relevante instellingen E-mailserver helemaal alleen. Dit gebeurt, onzichtbaar voor de gebruiker, via een protocol genaamd Autodiscover.

Dit protocol heeft conceptuele gebreken die al lang bekend zijn en die door aanvallers kunnen worden gebruikt om duidelijke tekstreferenties voor e-mailpostvakken en zelfs het lokale Windows-domein te stelen. Een beveiligingsbedrijf heeft nu uitgebreid uitgelegd hoe dit werkt.

Guardicore beveiligingsonderzoeker hebben nu succesvolle pogingen gedocumenteerd om dergelijke inloggegevens te bespioneren via Autodiscover. Ze richtten zich vooral op Windows-referenties. In totaal wisten ze in iets minder dan vier maanden tijd meer dan 372.000 inlogpogingen voor Windows-domeinen te bespioneren. Dit resulteerde in de inloggegevens van 96.671 Windows-accounts – in gewone taal. De inlogpogingen kwamen van Outlook en mobiele e-mailprogramma’s van Microsoft en andere providers die probeerden verbinding te maken met Exchange-servers van organisaties na het opzetten van een nieuw e-mailaccount. Volgens Gaurdicore zijn de getroffen organisaties banken, transportbedrijven, voedselproducenten, grote beursgenoteerde bedrijven op de Chinese markt en elektriciteitscentrales en elektriciteitsnetwerkbeheerders in verschillende landen. Het beveiligingsbedrijf wil de slachtoffers echter niet nauwkeuriger identificeren.

Guardicore kon deze inloggegevens lezen omdat ze lekten in het openbare netwerk vanwege een fout in het ontwerp van het protocol. De mailprogramma’s van Microsoft proberen het de gebruiker zo gemakkelijk mogelijk te maken om zijn e-mailaccount in te stellen. Daarom gebruiken ze Autodiscover om te zoeken naar een configuratie-URL van een Exchange-server in het Windows-domein van de aanmelding. Als ze een e-mailadres invoeren, gaat het protocol ervan uit dat het domein dat het bevat ook het Windows-domein van de organisatie is.

Op het e-mailadres m.musterfrau@beispielfirma.de de software zou eerst proberen een configuratie-eindpunt te nemen autodiscover.beispielfirma.de en onder beispielfirma.de bereiken. Als niemand antwoordt, wordt het Autodiscover-protocol creatief en dat is precies waar het probleem ligt. Nu probeert de software een URL te bouwen uit de modules “Autodiscover”, het bedrijfsdomein (voorbeeld bedrijf) en de TLD (.de), waaronder het een antwoord ontvangt. Dit kan ook resulteren in de combinatie Autodiscover.TLD.

Dit kan ertoe leiden dat het e-mailprogramma domeinen probeert te verzenden zoals: autodiscover.de om contact op te nemen – het gebruikt daarom de “Autodiscover”-module en de TLD van het ingevoerde e-mailadres. Helaas zijn ze openbaar en kunnen ze door iedereen worden geregistreerd. En dat is precies wat het is met autodiscover.de en autodiscover.com al gebeurd – hoewel in ieder geval het laatste domein nogal onbetrouwbare eigenaren lijkt te hebben. De Guardicore-onderzoekers zijn er in ieder geval in geslaagd om de domeinen autodiscover.es, .fr, .in, .it, .sg, .uk, .com.br, .com.cn, .com.co, .xyz en .online te verwerven register. En daar luisterden uw servers naar inkomende Autodiscover-verzoeken.

Interessant is dat de servers direct inloggegevens ontvingen – in platte tekst of Base64-gecodeerd – zonder dat de client eerst had gecontroleerd of er echt een bekende server aan de andere kant was. In sommige gevallen probeerde Outlook zijn verzoek aan de vermeende Exchange-server te verifiëren met een token in plaats van een login in platte tekst, die een aanvaller kan gebruiken om onheil in het domein te voorkomen. Omdat Microsoft hier echter te betrouwbaar was bij het bouwen van het protocol, kan de server, onder controle van de aanvaller, dit verzoek downgraden en zo weer bruikbare inloggegevens ontvangen.

Deze downgrade leidt echter tot een verzoek van de gebruiker, die nu zijn gebruikersnaam en domeinwachtwoord moet invoeren. Als de server geen TLS-certificaat heeft dat de computer van de gebruiker vertrouwt, wordt de gebruiker gewaarschuwd. Guardicore heeft dit echter omzeild door hun server in realtime een betrouwbaar certificaat van Let’s Encrypt te laten uitgeven. De gebruiker aan de andere kant van de lijn kreeg geen waarschuwing, maar alleen een verzoek om zijn Windows-aanmeldingsgegevens, wat volkomen legitiem lijkt in het kader van het opzetten van een nieuw e-mailaccount. Het is niet verwonderlijk dat de beveiligingsonderzoekers ook hier veel data konden aanboren.

Het feit dat Outlook en Exchange eenvoudige, HTTP-geverifieerde inloggegevens in leesbare tekst naar een onbekende server sturen, is een enorm probleem. De onderzoekers onderzochten slechts één versie (gebaseerd op Plain Old XML of POX) van veel van het Autodiscover-protocol en ze waren lang niet in staat om gegevens in alle mogelijke configuraties te lezen, het succes van hun gegevensspionage in het openbare netwerk met de zelf- geregistreerde domeinen moeten echter wel tot nadenken stemmen.

Wat vooral verontrustend is, is het feit dat bekend is dat Autodiscover al jaren op deze manier problemen veroorzaakt. In 2017 publiceerde Shape Security beveiligingsonderzoekers een gedetailleerde bespreking van soortgelijke Autodiscover-problemen in mobiele e-mailprogramma’s. Ze meldden deze als kwetsbaarheden vermeld als CVE-2016-9940 en CVE-2017-2414.

Men kan er gerust van uitgaan dat de autodiscover-kwetsbaarheden in andere mailprogramma’s inmiddels zijn ontdekt door hackers. Sommige van deze hackers hebben waarschijnlijk ook kwaadaardige bedoelingen. Het feit dat sommige Autodiscover TLD’s al jaren zijn geregistreerd, sommige anoniem, suggereert iets slechts.

In de loop van de reactie van veel bedrijven op de SARS-CoV-2 pandemie in het afgelopen jaar zal het aantal nieuwe e-mailaccounts waarschijnlijk weer zijn toegenomen door de toegenomen verhuizing van medewerkers naar het thuiskantoor. Wat waarschijnlijk betekent dat het stelen van dergelijke inloggegevens veel lucratiever is geworden. En men moet er ook van uitgaan dat vastgelegde Windows-logins nu bijzonder nuttig zijn voor aanvallers, aangezien steeds meer bedrijven zich steeds meer moeten openstellen voor logins van het openbare netwerk.

De Guardicore-onderzoekers hebben gemeld dat ze een aantal van de betrokken organisaties hebben geïnformeerd waarvoor ze toegang hebben gekregen tot inloggegevens. Tegenover de Amerikaanse nieuwswebsite ZDNet Microsoft zei echter op record:die werd niet benaderd door de onderzoekers. Het onderzoekt nu het rapport en zal “redelijke stappen ondernemen” om zijn klanten te beschermen. Als de door Guardicore beschreven problemen volledig correct werden gepresenteerd, kan men zich echter afvragen waarom dit enorme datalek in het Autodiscover-protocol de netwerken van Microsoft-klanten jarenlang of decennia in gevaar zou kunnen brengen, zonder dat het bedrijf enige actie onderneemt.

Beheerders die niet willen wachten op de pogingen van Microsoft om het protocol te beveiligen, waarvan de ervaring is gebleken dat deze nogal vasthoudend is (vergelijk de gevolgen van de grote Exchange-hack eerder dit jaar), moeten de configuratie van hun netwerken beveiligen. De Guardicore-onderzoekers raden aan om firewallregels aan te passen zodat alle verzoeken aan autodiscover.TLD-domeinen worden geblokkeerd. Hiervoor bieden de onderzoekers: een lijst met bijbehorende gevaarlijke domeinen klaar op GitHub.

Bovendien moet eenvoudige HTTP-authenticatie worden gedeactiveerd bij het configureren van Exchange, zodat inloggegevens niet in leesbare tekst worden verzonden. Beheerders moeten er natuurlijk ook voor zorgen dat werknemers in het thuiskantoor ook dienovereenkomstig worden beschermd.


(fantastisch)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: