L'ANALISI TECNICA

Bug in Microsoft Exchange Autodiscover, credenziali Windows e Outlook diffuse su Internet: i dettagli

Un difetto di progettazione non ancora corretto nell’implementazione del protocollo Autodiscover di Microsoft Exchange ha causato la diffusione di circa 100mila credenziali di accesso per i domini Windows in tutto il mondo. Importante installare la patch appena verrà rilasciata. Ecco tutto quello che c’è da sapere

24 Set 2021
D
Marco Di Muzio

Cybersecurity and Systems Integrator consultant

Un’implementazione errata del protocollo Autodiscover, utilizzato dai server di posta Microsoft Exchange, sta causando l’invio di credenziali Windows a siti Web non attendibili di terze parti: è quanto rivelato da un recente report di Amit Serper, Security Research presso Guardicore.

Al momento, sarebbero circa 100.000 le username e le password trapelate a causa di questo errore di progettazione in Microsoft Exchange.

Da parte sua, Microsoft ha comunicato di essere al lavoro per sanare il problema di sicurezza, segnalando al contempo di non aver ricevuto alcuna segnalazione prima della sua divulgazione pubblica. È dunque probabile che nei prossimi giorni verrà rilasciata una patch risolutiva.

Cos’è e come funziona Microsoft Exchange Autodiscover

Per comprendere l’origine del problema di sicurezza, è utile spiegare brevemente cos’è e come funziona il protocollo Autodiscover implementato nelle installazioni di Microsoft Exchange.

WHITEPAPER
Sicurezza garantita per le tue applicazioni: ecco i 5 passaggi chiave da rispettare
Sicurezza
Software

Autodiscover (denominato “individuazione automatica” per le versioni di Exchange in lingua italiana) è stato creato per fornire agli utenti un modo facile e veloce per configurare i propri client di posta elettronica. Di solito, per configurarsi il client di posta, l’utente deve inserire più impostazioni:

  • nome utente e password;
  • i nomi host/indirizzi IP dei server di posta;
  • in alcuni casi, sono necessarie impostazioni aggiuntive (settaggi LDAP, calendari WebDAV ecc.).

Il protocollo Autodiscover consta di diverse iterazioni, versioni e modalità: la documentazione completa è disponibile sul sito Web di Microsoft. Tuttavia, ciò che andremo brevemente a delineare per i fini divulgativi di questo articolo, è l’implementazione specifica di Autodiscover basata su POX XML.

Dove sta il bug in Microsoft Exchange Autodiscover

Una volta che l’utente aggiunge un nuovo account Microsoft Exchange ad Outlook, riceverà un messaggio che richiede il nome utente e la password.

(Fonte: Guardicore)

Quando l’utente inserirà le credenziali, Outlook proverà ad utilizzare l’individuazione automatica per configurare il client. Questa fase del processo si presenta così:

(Fonte: Guardicore)

Le due maschere appena illustrate altro non fanno che portare avanti il seguente processo applicativo:

  • il client analizza l’indirizzo email fornito dall’utente;
  • il client prova quindi a creare una URL di autodiscover basato sull’indirizzo e-mail con il seguente formato:
  1. https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  2. http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  3. https://example.com/Autodiscover/Autodiscover.xml
  4. http://example.com/Autodiscover/Autodiscover.xml

Nell’ipotesi in cui nessuna di queste URL sia raggiungibile, Autodiscover avvierà la sua procedura di “back-off”.

Questo meccanismo è il vero colpevole del data leak segnalato da Serper, perché cerca sempre di risolvere la porzione di autodiscover del dominio e cercherà sempre di “fallire”, per così dire.

Se il client, infatti, non dovesse essere in grado di autenticarsi alle URL di cui sopra, Serper ha scoperto che alcuni software per consultare posta elettronica, incluso Microsoft Outlook, eseguono una procedura di “back-off”. Questa procedura tenta di creare URL aggiuntivi per l’autenticazione, come il dominio autodiscover.[tld], dove il TLD (Top-Level Domain, dominio di primo livello) deriva dall’indirizzo email dell’utente.

Poiché l’organizzazione dell’utente di posta elettronica non è proprietaria di questo dominio, e le credenziali vengono inviate automaticamente all’URL, ciò consentirebbe al proprietario di quel dominio di raccogliere le credenziali inviategli.

Per dimostrare il tutto, Guardicore ha registrato i seguenti domini e ha configurato server Web su ciascuno di essi per vedere quante credenziali sarebbero trapelate dalla funzione di individuazione automatica di Microsoft Exchange:

  • Autodiscover.com.br – Brazil
  • Autodiscover.com.cn – China
  • Autodiscover.com.co – Columbia
  • Autodiscover.es – Spain
  • Autodiscover.fr – France
  • Autodiscover.in – India
  • Autodiscover.it – Italy
  • Autodiscover.sg – Singapore
  • Autodiscover.uk – United Kingdom
  • Autodiscover.xyz
  • Autodiscover.online

Dopo la creazione e registrazione dei domini, Serper ha scoperto che i client di posta elettronica, incluso Microsoft Outlook, inviano le credenziali degli account utilizzando l’HTTP Basic authentication, rendendole facilmente visualizzabili (basta decodificare una stringa ricevuta in Base64) e, ovviamente, archiviabili.

(Fonte: Guardicore)

Per i client Outlook che inviano credenziali utilizzando i protocolli di autenticazione NTLM e Oauth, Serper ha ideato un attacco che costringe il client a eseguire il downgrade della richiesta inviata, ad una su HTTP Basic, rendendo possibile, ancora una volta, accedere con facilità alle credenziali.

(Fonte: Guardicore)

Tra il 20 aprile 2021 e il 25 agosto 2021, durante i test, Guardicore sostiene di aver ricevuto sui citati server:

  • ben 648.976 richieste HTTP destinate ai loro domini di autodiscover
  • 372.072 richieste BA (HTTP Basic Authentication)
  • 96.671 richieste preautenticate univoche

Inoltre, afferma che tra i domini che hanno inviato credenziali, sono presenti:

  • società quotate in borsa
  • produttori di alimenti
  • banche e società finanziarie
  • centrali elettriche
  • società Immobiliari
  • società di spedizioni e logistica
  • aziende attive nel fashion e lusso

Considerazioni finali

Per approfondire ulteriori aspetti e in particolare i suggerimenti per la mitigazione del threat è possibile fare riferimento direttamente all’articolo pubblicato dal ricercatore.

L’occasione è utile, però, per proporre e proporci una riflessione comune sull’importanza di basare un “sacro” servizio come la posta elettronica aziendale su implementazioni server solide e poco esposte a vulnerabilità critiche come quella identificata nel protocollo Autodiscover.

E se in questo scenario non fossero finite solo credenziali di società commerciali, ma anche di enti statali dai servizi critici (ad oggi non leggiamo ancora un lieto fine sulla brutta vicenda del ransomware che ha colpito i sistemi ICT della Regione Lazio e dell’Ospedale San Giovanni Addolorata di Roma) o perfino di fornitori legati alla Difesa del Paese?

Sono ancora molti, infatti, i server Exchange (installati, tra l’altro, su sistemi server Microsoft Windows) in Italia (e non solo) non patchati e con i servizi OWA facilmente raggiungibili: salvo liste di controllo degli accessi (ACL) “ad-hoc”, i numeri li ha già Shodan (e quindi, potenzialmente, anche tutte le cyber gang criminali di tutto il mondo).

È dunque utile iniziare a ragionare seriamente (ossia riconvertendo infrastrutture critiche a sistemi operativi “nativamente” più sicuri) in termini, ad esempio, di server OpenBSD e server di posta che non siano stati progettati abbracciando la filosofia del Security through obscurity in barba ai principi del Secure By Design.

E occorre farlo subito, prima che le casse delle aziende (o dello Stato) finiscano i denari per tentare in extremis questa riconversione, giacché tutti i fondi disponibili saranno stati utilizzati per un ripristino da una serie di attacchi ransomware in cascata andati a buon fine che, con il pretesto di un riscatto finanziario, magari sono solo l’incipit di un vero e proprio piano di attacchi informatici (antesignani di qualcos’altro di assai più preoccupante) sferrati da una qualche potenza estera per mettere completamente in crisi l’intero piano infrastrutturale ed economico di un Paese e andati a segno oltre che a causa della distrazione di pochi utenti, anche a causa di socket e librerie vulnerabili.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr