Уязвимость протокола Autodiscover в Microsoft Exchange представила доступ к сотне тысяч учётных записей

ООО 'Датавэй секьюрити'

Компания Guardicore Labs в период с 16 апреля по 25 августа 2021 года провела исследование, в результате которого была обнаружена серьезная уязвимость в протоколе Autodiscover (Автообнаружение), используемый Microsoft Exchange для автоматической настройки клиентов. Данную уязвимость можно использовать для сбора учетных записей доменов и приложений Windows. За указанный период было собрано более 370 тысяч доменных учетных записей, а также почти 100 тысяч уникальных учетных записей из различных приложений.

Протокол Autodiscover предназначен для упрощения настройки клиентов Microsoft Exchange, например, Microsoft Outlook, мобильные почтовые клиенты и другие приложения. Цель протокола - дать конечному пользователю возможность полностью настроить свой клиент Outlook, только указав имя пользователя и пароль, а остальную настройку оставить протоколу автообнаружения Microsoft Exchange. Важно понимать, что, поскольку Microsoft Exchange является частью «набора решений для домена Microsoft», учетные данные, необходимые для входа в почтовый ящик на базе Exchange, в большинстве случаев являются учетными записями домена. Последствия утечки учетных записей домена в таком масштабе огромны и могут подвергнуть организацию опасности проникновения злоумышленников в сеть используя законные и действующие учетные данные.

По сути, процесс Autodiscover состоит из трех этапов. На первом этапе создается список потенциальных серверов автообнаружения, а на втором этапе проверяется каждый сервер в списке, пока не будет получен успешный ответ. Если ни один из потенциальных кандидатов не сработал, происходит переход к третьему этапу, который представляет собой «последнюю попытку» найти конечную точку автообнаружения, используя процедуру «отката».

Этот механизм «отката» и является причиной утечки, потому что он всегда пытается разрешить Autodiscover использовать часть доменного имени для поиска конечной точки.

Пример работы сервиса Autodiscover.

  1. Пользователь вводит адрес электронной почты - amit @ example.com.
  2. Клиент анализирует этот адрес и создает список с URL-адресами для автообнаружения в следующем формате:
    • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
    • http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
    • https://example.com/Autodiscover/Autodiscover.xml
    • http://example.com/Autodiscover/Autodiscover.xml
  3. Проверяется каждый сервер в списке, пока не будет получен успешный ответ.
  4. Если ни один из этих URL-адресов не отвечает, Autodiscover начнет процедуру «отката» - следующий URL-адрес для автообнаружения будет: http://Autodiscover.com/Autodiscover/Autodiscover.xml. Это означает, что владелец Autodiscover.com получит все запросы, которые не могут достичь необходимого домена.

В 2017 году исследователи из Shape Security опубликовали отчет о том, как реализации Autodiscover в почтовых клиентах на мобильных телефонах (таких как почтовый клиент Samsung на Android и Apple Mail на iOS) могут вызывать утечки. Уязвимости, обнаруженные Shape Security, были исправлены, но сейчас 2021 год со значительно более широкими возможностями для угроз, и решать эту проблему приходится уже с большим количеством сторонних приложений за пределами почтовых серверов.

Одним из вариантов решения данной проблемы – использовать двухфакторную аутентификацию с помощью ключей защиты (токенов).