Microsoft на протяжении 5 лет знала о проблеме в Autodiscover

Почтовый клиент Microsoft Outlook, по крайней мере, с 2016 года раскрывает незащищенные учетные данные пользователей, если запросить сведения определенным образом. Microsoft знает об проблеме, но по-прежнему советует клиентам взаимодействовать только с серверами, которым они доверяют.

10 августа 2016 года директор британской IT-компании Supporting Role Марко ван Бик (Marco van Beek) отправил в Microsoft Security Response Center сообщение о проблеме функции Microsoft Autodiscover почтовых серверов Microsoft Exchange, позволяющей почтовым клиентам автоматически обнаруживать почтовые серверы, предоставлять учетные данные, а затем получать надлежащие конфигурации.

«Получить доступ к паролям пользователей Exchange и, следовательно, Active Directory, в виде открытого текста чрезвычайно просто. Это не обязательно требует какого-либо нарушения корпоративной безопасности, и это так же безопасно, как доступ на уровне файлов к корпоративному web-сайту», — сообщил Бик.

PoC-код для эксплуатации уязвимости состоял из 11 строк на языке PHP, хотя его предположительно можно было сократить до трех строк. Исследователи приложил пояснительный PDF-файл и описал поведение протокола Microsoft Autodiscover, когда программное обеспечение почтового клиента пытается добавить новую учетную запись Exchange.

11 августа 2016 года Microsoft подтвердила воспроизведение проблемы в отчете Бика. Однако 30 августа 2016 года компания сообщила, что в отчете не описывается настоящая уязвимость

«Наши инженеры в области безопасности изучили отчет и определили, что это не уязвимость, которую нужно обслуживать в рамках нашей ежемесячной процедуры «вторник исправлений». SSL-сертификат без соответствующего имени хоста никогда не рекомендуется принимать. Прежде чем отправить запрос, убедитесь, что он заслуживает доверия. Помните, вы отправляете учетные данные пользователя, поэтому важно убедиться, что вы делитесь ими только с сервером, которому можно доверять», — ответили в Microsoft.

Спустя пять лет исследователи в области кибербезопасности из компании Guardicore обнаружили ту же ошибку в почтовом сервере Microsoft Exchange. Проблема привела к утечке учетных данных домена и приложений Windows по всему миру.

По словам экспертов, механизм автоматического обнаружения почтовых серверов использует процедуру «отката» на случай, если он не обнаружит конечную точку Autodiscover сервера Microsoft Exchange с первой попытки. Этот механизм «отката» и является виновником утечки данных, поскольку он всегда пытается разрешить часть домена Autodiscover и всегда будет пытаться «выйти из строя». Результатом следующей попытки создания URL-адреса Autodiscover будет: autodiscover.com/autodiscover/autodiscover[.]xml. Это означает, что владелец autodiscover[.]com получит все запросы, которые не могут достичь исходного домена.

Как отметил Бик, он и эксперты из Guardicore по отдельности обнаружили ту же проблему с раскрытыми учетными данными.

«Основное отличие состоит в том, что они нашли способ убрать их из основного почтового домена, в то время как я остановился, когда понял, что большинство почтовых клиентов даже не проверяли SSL-сертификат перед передачей подарков», — пояснил он.

Источник 📢