Guardicore descobre vazamento de credenciais por falha no Exchange

Guardicore descobre vazamento de credenciais por falha no Exchange. A falha está no Autodiscover, protocolo utilizado pelo Microsoft Exchange para configuração automática de aplicativos como, por exemplo, o Outlook 

Entre abril e agosto, o Guardicore Labs capturou 372.072 credenciais de domínio do Windows, entre elas 96.671 credenciais únicas vazadas de diferentes aplicativos, como Outlook, e-mail móvel e outros aplicativos que fazem interface com o servidor Exchange da Microsoft. 

A descoberta do Guardicore Labs foi publicada no blog do laboratório, em texto assinado por Amit Serper, vice-presidente de pesquisa e segurança da Guardicore para a América do Norte. Ele aponta que “frequentemente invasores tentam obter credenciais de usuários por meios técnicos ou de engenharia social. No entanto, as senhas podem ser vazadas simplesmente por um protocolo criado para agilizar as operações dos times de TI na configuração dos clientes de e-mail – o que enfatiza a importância dos conceitos de Zero Trust e implementação de microssegmentação adequada”. 

As credenciais que estão sendo vazadas são credenciais de domínio do Windows válidas usadas para autenticação em servidores Microsoft Exchange. A origem dos vazamentos é composta por dois problemas:

  1. O design do protocolo Autodiscover da Microsoft (e o algoritmo de “retirada”, especificamente).
  2. Implementação deficiente deste protocolo em algumas aplicações.
Conforme mencionado, o protocolo de Descoberta Automática da Microsoft foi criado para facilitar a configuração de clientes do Exchange, como o Microsoft Outlook. O objetivo do protocolo é fazer com que um usuário final seja capaz de configurar completamente seu cliente Outlook apenas fornecendo seu nome de usuário e senha e deixar o resto da configuração para o protocolo Autodiscover do Microsoft Exchange. É importante entender que, como o Microsoft Exchange faz parte do “pacote de domínio da Microsoft” de soluções, as credenciais necessárias para fazer o login na caixa de entrada baseada no Exchange são, na maioria dos casos, suas credenciais de domínio. As implicações de um vazamento de credencial de domínio em tal escala são enormes e podem colocar as organizações em perigo. Especialmente no mundo devastado dos ataques de ransomware de hoje – a maneira mais fácil de um invasor conseguir entrar em uma organização é usar credenciais legítimas e válidas.
Em 2017, pesquisadores da Shape Security publicaram um artigo sobre como as implementações de Descoberta Automática em clientes de e-mail em telefones celulares (como o cliente de e-mail da Samsung no Android e Apple Mail no iOS) podem causar tais vazamentos (CVE-2016-9940, CVE-2017-2414 ) As vulnerabilidades divulgadas pelo Shape Security foram corrigidas, no entanto, aqui estamos em 2021 com um cenário de ameaças significativamente maior, lidando exatamente com o mesmo problema apenas com mais aplicativos de terceiros fora dos clientes de e-mail. Esses aplicativos estão expondo seus usuários aos mesmos riscos. Iniciamos processos de divulgação responsável com alguns dos fornecedores afetados. Mais detalhes sobre esse aspecto serão divulgados como uma segunda parte deste artigo.

Autodiscover

O protocolo de descoberta automática do Exchange foi criado para fornecer uma maneira para os clientes configurarem facilmente seus aplicativos de cliente do Exchange. Normalmente, para configurar um cliente de e-mail, o usuário deve definir várias configurações:

  • Usuário e senha.
  • Os nomes de host / endereços IP dos servidores de correio / Exchange.
  • Em alguns casos, são necessárias configurações adicionais (configurações diversas do LDAP, calendários WebDAV etc.).
O protocolo possui várias iterações, versões e modos – sua documentação completa pode ser encontrada no site da Microsoft , porém, neste artigo, discutiremos uma implementação específica da Descoberta Automática baseada no protocolo POX XML. Depois que o usuário adiciona uma nova conta do Microsoft Exchange ao Outlook, o usuário receberá um prompt solicitando seu nome de usuário e senha:
descoberta automática de grande vazamento
Configuração automática de conta do Microsoft Outlook

Depois que o usuário preencher todos os detalhes, o Outlook tentará usar a Descoberta Automática para configurar o cliente. Esta etapa do processo é semelhante a esta:

descoberta automática de grande vazamentoProcesso de configuração automática de conta do Microsoft Outlook
No entanto, para realmente entender como a Descoberta Automática funciona, precisamos saber o que acontece “nos bastidores”:

  1. O cliente analisa o endereço de e-mail fornecido pelo usuário – amit example.com.
  2. O cliente então tenta construir um URL de descoberta automática com base no endereço de e-mail com o seguinte formato:
    • https: // Descoberta automática example.com /Autodiscover/Autodiscover.xml
    • http: // Descoberta automática example.com /Autodiscover/Autodiscover.xml
    • https: // example.com /Autodiscover/Autodiscover.xml
    • http: // example.com /Autodiscover/Autodiscover.xml

Caso nenhum desses URLs esteja respondendo, a Descoberta Automática iniciará seu procedimento de “retirada” . Esse mecanismo de “retirada” é o culpado desse vazamento porque está sempre tentando resolver a parte da Descoberta Automática do domínio e sempre tentará “falhar”, por assim dizer. Ou seja, o resultado da próxima tentativa de construir um URL de Descoberta Automática seria: http: // Descoberta Automática . com /Autodiscover/Autodiscover.xml. Isso significa que o proprietário do Autodiscover.com receberá todas as solicitações que não puderem chegar ao domínio original. Para obter mais informações sobre como a Descoberta Automática funciona, verifique a documentação da Microsoft .

autodiscover back off microsoft outlook grande vazamentoProcesso de “retirada” de descoberta automática

Como se dá o vazamento 

O Autodiscover, protocolo do Microsoft Exchange para configuração automática de aplicações como Microsoft Outlook, por exemplo, permite que o usuário final configure seu cliente fornecendo um nome de usuário e senha e deixando o resto da configuração por conta do protocolo.  

O problema é que há no Autodiscover uma falha de projeto permitindo o vazamento de solicitações web feitas a domínios fora do domínio do usuário, mas com o mesmo TLD (por exemplo, Autodiscover.com) . Serper registrou diversos nomes de domínios com “Autodiscover“ e os configurou para que se conectassem com um servidor web sob seu controle – detectando assim um vazamento maciço de credenciais de domínio Windows para esse servidor. 

Entre 16 abril e 25 de agosto, o Guardicore Labs capturou 372.072 credenciais de domínio do Windows, entre elas 96.671 credenciais únicas vazadas de diferentes aplicativos, como Outlook, e-mail móvel e outros aplicativos que fazem interface com o servidor Exchange da Microsoft. Essas credenciais são de empresas de energia, transporte e alimentos, entre outras. Se houvesse intenção maliciosa, o resultado teria sido desastroso. 

Amit Serper comenta que se trata de um problema de segurança grave, pois se um invasor for capaz de controlar determinados domínios ou “farejar” o tráfego da rede, ele pode capturar credenciais de domínio em texto simples (autenticação HTTP básica) que estejam sendo transferidas por essa rede. Além disso, se o invasor tiver recursos para “envenenar” DNS em grande escala (por exemplo, um estado-nação), ele poderá criar uma campanha para drenar senhas sistematicamente. 

Os detalhes da falha e como o ataque é feito pode ser consultado em https://www.guardicore.com/labs/autodiscovering-the-great-leak/ 

Mitigação

Mitigar o problema de vazamentos de Descoberta Automática é importante e para isto, duas abordagens distintas são necessárias:

  1. Uma abordagem deve ser implementada pelo público em geral que usa tecnologias baseadas no Exchange, como Outlook ou ActiveSync (protocolo de sincronização móvel do Exchange da Microsoft) e a outra abordagem deve ser implementada por desenvolvedores / fornecedores de software que estão implementando o protocolo Autodiscover em seus produtos:
  2. Para o público em geral: verifique se você está bloqueando ativamente a Descoberta Automática. domínios (como Autodiscover.com/Autodiscover.com.cn, etc) em seu firewall.
grande vazamento ol switcheroo microsoft outlook guardicore centra DNS
Crie regras de bloqueio para nomes de domínio de descoberta automática
  • Ao implantar / definir configurações do Exchange, certifique-se de que o suporte para autenticação básica esteja desabilitado – usar a autenticação básica HTTP é o mesmo que enviar uma senha em texto não criptografado pela rede.
  • Uma lista textual abrangente de todos os domínios de nível superior pode ser encontrada no seguinte url: https://data.iana.org/TLD/tlds-alpha-by-domain.txt
    • A Guardicore preparou um arquivo txt com todos os domínios Autodiscover.TLD possíveis que podem ser adicionados ao seu arquivo de hosts local ou configuração de firewall para reduzir o risco de resolução de tais domínios de Descoberta Automática. Verifique o repositório github para obter mais informações: https://github.com/guardicore/labs_campaigns/tree/master/Autodiscover

3. Para fornecedores e desenvolvedores de software:

  • Certifique-se de que, ao implementar o protocolo de Descoberta Automática em seu produto, não está permitindo que ele “fail upwards”, o que significa que domínios como “Autodiscover” nunca deve ser construído pelo algoritmo “back-off”.

Conclusão

Neste documento, a Guardicore discutiu as implicações da falha de design básico no protocolo de Descoberta Automática (o algoritmo de “recuo”) e demonstrou que se um invasor controla domínios de Descoberta Automática de nível superior (ou se o invasor tem a capacidade de conduzir um DNS – envenenando ataques usando esses domínios), eles podem facilmente consumir credenciais de domínio válidas dessas solicitações vazadas de Autodiscover.

Freqüentemente, os invasores tentam fazer com que os usuários enviem suas credenciais aplicando várias técnicas, sejam técnicas ou de engenharia social. No entanto, este incidente nos mostra que as senhas podem ser vazadas fora do perímetro da organização por um protocolo que pretendia agilizar as operações do departamento de TI no que diz respeito à configuração do cliente de e-mail, sem que ninguém do departamento de TI ou segurança soubesse disso, o que enfatiza a importância da segmentação adequada e confiança zero.  

A Guardicore Labs, diz que continua os esforços contínuos para proteger redes, aplicativos e protocolos, localizando, alertando e divulgando tais problemas.

Fonte: Guardicore

Veja também:

 

 
Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. O que é extortionware ? Como ele difere do ransomware?
  2. FinSpy infecta por meio de bootkits resistentes à reinstalação do SO

Deixe sua opinião!