Компания Guardicore Labs в период с 16 апреля по 25 августа 2021 года провела исследование, в результате которого была обнаружена серьезная уязвимость в протоколе Autodiscover (Автообнаружение), используемый Microsoft Exchange для автоматической настройки клиентов. Данную уязвимость можно использовать для сбора учетных записей доменов и приложений Windows. За указанный период было собрано более 370 тысяч доменных учетных записей, а также почти 100 тысяч уникальных учетных записей из различных приложений.

Протокол Autodiscover предназначен для упрощения настройки клиентов Microsoft Exchange, например, Microsoft Outlook, мобильные почтовые клиенты и другие приложения. Цель протокола - дать конечному пользователю возможность полностью настроить свой клиент Outlook, только указав имя пользователя и пароль, а остальную настройку оставить протоколу автообнаружения Microsoft Exchange. Важно понимать, что, поскольку Microsoft Exchange является частью «набора решений для домена Microsoft», учетные данные, необходимые для входа в почтовый ящик на базе Exchange, в большинстве случаев являются учетными записями домена. Последствия утечки учетных записей домена в таком масштабе огромны и могут подвергнуть организацию опасности проникновения злоумышленников в сеть используя законные и действующие учетные данные.

По сути, процесс Autodiscover состоит из трех этапов. На первом этапе создается список потенциальных серверов автообнаружения, а на втором этапе проверяется каждый сервер в списке, пока не будет получен успешный ответ. Если ни один из потенциальных кандидатов не сработал, происходит переход к третьему этапу, который представляет собой «последнюю попытку» найти конечную точку автообнаружения, используя процедуру «отката».

Этот механизм «отката» и является причиной утечки, потому что он всегда пытается разрешить Autodiscover использовать часть доменного имени для поиска конечной точки.

Пример работы сервиса Autodiscover.

  1. Пользователь вводит адрес электронной почты - amit @ example.com.
  2. Клиент анализирует этот адрес и создает список с URL-адресами для автообнаружения в следующем формате:
    • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
    • http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
    • https://example.com/Autodiscover/Autodiscover.xml
    • http://example.com/Autodiscover/Autodiscover.xml
  3. Проверяется каждый сервер в списке, пока не будет получен успешный ответ.
  4. Если ни один из этих URL-адресов не отвечает, Autodiscover начнет процедуру «отката» - следующий URL-адрес для автообнаружения будет: http://Autodiscover.com/Autodiscover/Autodiscover.xml. Это означает, что владелец Autodiscover.com получит все запросы, которые не могут достичь необходимого домена.

В 2017 году исследователи из Shape Security опубликовали отчет о том, как реализации Autodiscover в почтовых клиентах на мобильных телефонах (таких как почтовый клиент Samsung на Android и Apple Mail на iOS) могут вызывать утечки. Уязвимости, обнаруженные Shape Security, были исправлены, но сейчас 2021 год со значительно более широкими возможностями для угроз, и решать эту проблему приходится уже с большим количеством сторонних приложений за пределами почтовых серверов.

Одним из вариантов решения данной проблемы – использовать двухфакторную аутентификацию с помощью ключей защиты (токенов).

Недавно New York Times опубликовала статью о том, что программисту Стефану Томасу, который проживает в Сан-Франциско, осталось всего две попытки ввести правильный пароль, с помощью которого он получит доступ к $220 млн.

Правильный пароль предоставит ему возможность разблокировать зашифрованный внешний носитель IronKey, в котором находятся закрытые ключи к криптокошельку, где хранится 7002 биткойна.

Несколько лет назад г-н Томас потерял лист бумаги, где был написан пароль от накопителя IronKey, технология которого дает пользователю 10 попыток, прежде чем будут сброшены ключи шифрования, после чего данные на диске восстановить будет невозможно. С тех пор он безрезультатно ввел восемь наиболее частых вариантов пароля.

Учитывая данные обстоятельства, г-н Томас спрятал IronKey в безопасное место, ожидая когда будут придуманы новые возможности по взлому паролей от зашифрованных носителей.

И это не единственный случай, например, предприниматель Габриэль Абед, проживающий в Барбадосе, в 2011 году утратил 800 биткойнов после того, как его коллега отформатировал ноутбук, на котором хранились закрытые ключи от криптокошелька.

Некоторые владельцы криптовалюты пользуются услугами сервисов и бирж, которые занимаются защитой персональных ключей от таких кошельков. Однако, и у этих сервисов немало проблем связанных с защитой криптоключей. За последние годы во многих биткойн-биржах, в том числе и Mt. Gox, были потеряны или украдены закрытые ключи от биткойн-кошельков, где хранились десятков тысяч биткойнов.

И все же, самым лучшим способом сохранить и защитить закрытый ключ от криптокошелька остается – зашифрованная флешка, а, если, помимо ключа, необходимо хранить большие объемы важной информации, то – внешний диск с аппаратным шифрованием. Но обязательным условием при этом должно быть – помнить пароль от носителя информации.