Bug in Microsoft Exchange Autodiscover, credenziali Windows e Outlook diffuse su Internet: i dettagli - Cyber Security 360

L'ANALISI TECNICA

Bug in Microsoft Exchange Autodiscover, credenziali Windows e Outlook diffuse su Internet: i dettagli

Un difetto di progettazione non ancora corretto nell’implementazione del protocollo Autodiscover di Microsoft Exchange ha causato la diffusione di circa 100mila credenziali di accesso per i domini Windows in tutto il mondo. Importante installare la patch appena verrà rilasciata. Ecco tutto quello che c’è da sapere

24 Set 2021
D
Marco Di Muzio

Cybersecurity and ICT Systems Integrator consultant

Un’implementazione errata del protocollo Autodiscover, utilizzato dai server di posta Microsoft Exchange, sta causando l’invio di credenziali Windows a siti Web non attendibili di terze parti: è quanto rivelato da un recente report di Amit Serper, Security Research presso Guardicore.

Al momento, sarebbero circa 100.000 le username e le password trapelate a causa di questo errore di progettazione in Microsoft Exchange.

Da parte sua, Microsoft ha comunicato di essere al lavoro per sanare il problema di sicurezza, segnalando al contempo di non aver ricevuto alcuna segnalazione prima della sua divulgazione pubblica. È dunque probabile che nei prossimi giorni verrà rilasciata una patch risolutiva.

Cos’è e come funziona Microsoft Exchange Autodiscover

Per comprendere l’origine del problema di sicurezza, è utile spiegare brevemente cos’è e come funziona il protocollo Autodiscover implementato nelle installazioni di Microsoft Exchange.

Autodiscover (denominato “individuazione automatica” per le versioni di Exchange in lingua italiana) è stato creato per fornire agli utenti un modo facile e veloce per configurare i propri client di posta elettronica. Di solito, per configurarsi il client di posta, l’utente deve inserire più impostazioni:

  • nome utente e password;
  • i nomi host/indirizzi IP dei server di posta;
  • in alcuni casi, sono necessarie impostazioni aggiuntive (settaggi LDAP, calendari WebDAV ecc.).

Il protocollo Autodiscover consta di diverse iterazioni, versioni e modalità: la documentazione completa è disponibile sul sito Web di Microsoft. Tuttavia, ciò che andremo brevemente a delineare per i fini divulgativi di questo articolo, è l’implementazione specifica di Autodiscover basata su POX XML.

Dove sta il bug in Microsoft Exchange Autodiscover

Una volta che l’utente aggiunge un nuovo account Microsoft Exchange ad Outlook, riceverà un messaggio che richiede il nome utente e la password.

(Fonte: Guardicore)

Quando l’utente inserirà le credenziali, Outlook proverà ad utilizzare l’individuazione automatica per configurare il client. Questa fase del processo si presenta così:

(Fonte: Guardicore)

Le due maschere appena illustrate altro non fanno che portare avanti il seguente processo applicativo:

  • il client analizza l’indirizzo email fornito dall’utente;
  • il client prova quindi a creare una URL di autodiscover basato sull’indirizzo e-mail con il seguente formato:
  1. https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  2. http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  3. https://example.com/Autodiscover/Autodiscover.xml
  4. http://example.com/Autodiscover/Autodiscover.xml

Nell’ipotesi in cui nessuna di queste URL sia raggiungibile, Autodiscover avvierà la sua procedura di “back-off”.

Questo meccanismo è il vero colpevole del data leak segnalato da Serper, perché cerca sempre di risolvere la porzione di autodiscover del dominio e cercherà sempre di “fallire”, per così dire.

Se il client, infatti, non dovesse essere in grado di autenticarsi alle URL di cui sopra, Serper ha scoperto che alcuni software per consultare posta elettronica, incluso Microsoft Outlook, eseguono una procedura di “back-off”. Questa procedura tenta di creare URL aggiuntivi per l’autenticazione, come il dominio autodiscover.[tld], dove il TLD (Top-Level Domain, dominio di primo livello) deriva dall’indirizzo email dell’utente.

Poiché l’organizzazione dell’utente di posta elettronica non è proprietaria di questo dominio, e le credenziali vengono inviate automaticamente all’URL, ciò consentirebbe al proprietario di quel dominio di raccogliere le credenziali inviategli.

Per dimostrare il tutto, Guardicore ha registrato i seguenti domini e ha configurato server Web su ciascuno di essi per vedere quante credenziali sarebbero trapelate dalla funzione di individuazione automatica di Microsoft Exchange:

  • Autodiscover.com.br – Brazil
  • Autodiscover.com.cn – China
  • Autodiscover.com.co – Columbia
  • Autodiscover.es – Spain
  • Autodiscover.fr – France
  • Autodiscover.in – India
  • Autodiscover.it – Italy
  • Autodiscover.sg – Singapore
  • Autodiscover.uk – United Kingdom
  • Autodiscover.xyz
  • Autodiscover.online

Dopo la creazione e registrazione dei domini, Serper ha scoperto che i client di posta elettronica, incluso Microsoft Outlook, inviano le credenziali degli account utilizzando l’HTTP Basic authentication, rendendole facilmente visualizzabili (basta decodificare una stringa ricevuta in Base64) e, ovviamente, archiviabili.

(Fonte: Guardicore)

Per i client Outlook che inviano credenziali utilizzando i protocolli di autenticazione NTLM e Oauth, Serper ha ideato un attacco che costringe il client a eseguire il downgrade della richiesta inviata, ad una su HTTP Basic, rendendo possibile, ancora una volta, accedere con facilità alle credenziali.

(Fonte: Guardicore)

Tra il 20 aprile 2021 e il 25 agosto 2021, durante i test, Guardicore sostiene di aver ricevuto sui citati server:

  • ben 648.976 richieste HTTP destinate ai loro domini di autodiscover
  • 372.072 richieste BA (HTTP Basic Authentication)
  • 96.671 richieste preautenticate univoche

Inoltre, afferma che tra i domini che hanno inviato credenziali, sono presenti:

  • società quotate in borsa
  • produttori di alimenti
  • banche e società finanziarie
  • centrali elettriche
  • società Immobiliari
  • società di spedizioni e logistica
  • aziende attive nel fashion e lusso

Considerazioni finali

Per approfondire ulteriori aspetti e in particolare i suggerimenti per la mitigazione del threat è possibile fare riferimento direttamente all’articolo pubblicato dal ricercatore.

L’occasione è utile, però, per proporre e proporci una riflessione comune sull’importanza di basare un “sacro” servizio come la posta elettronica aziendale su implementazioni server solide e poco esposte a vulnerabilità critiche come quella identificata nel protocollo Autodiscover.

E se in questo scenario non fossero finite solo credenziali di società commerciali, ma anche di enti statali dai servizi critici (ad oggi non leggiamo ancora un lieto fine sulla brutta vicenda del ransomware che ha colpito i sistemi ICT della Regione Lazio e dell’Ospedale San Giovanni Addolorata di Roma) o perfino di fornitori legati alla Difesa del Paese?

Sono ancora molti, infatti, i server Exchange (installati, tra l’altro, su sistemi server Microsoft Windows) in Italia (e non solo) non patchati e con i servizi OWA facilmente raggiungibili: salvo liste di controllo degli accessi (ACL) “ad-hoc”, i numeri li ha già Shodan (e quindi, potenzialmente, anche tutte le cyber gang criminali di tutto il mondo).

È dunque utile iniziare a ragionare seriamente (ossia riconvertendo infrastrutture critiche a sistemi operativi “nativamente” più sicuri) in termini, ad esempio, di server OpenBSD e server di posta che non siano stati progettati abbracciando la filosofia del Security through obscurity in barba ai principi del Secure By Design.

E occorre farlo subito, prima che le casse delle aziende (o dello Stato) finiscano i denari per tentare in extremis questa riconversione, giacché tutti i fondi disponibili saranno stati utilizzati per un ripristino da una serie di attacchi ransomware in cascata andati a buon fine che, con il pretesto di un riscatto finanziario, magari sono solo l’incipit di un vero e proprio piano di attacchi informatici (antesignani di qualcos’altro di assai più preoccupante) sferrati da una qualche potenza estera per mettere completamente in crisi l’intero piano infrastrutturale ed economico di un Paese e andati a segno oltre che a causa della distrazione di pochi utenti, anche a causa di socket e librerie vulnerabili.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4