Pesquisadores da empresa israelense Guardicore descobriram uma vulnerabilidade no recurso Autodiscover do MS Exchange que lhes permitiu obter 372.072 credenciais de domínio do Windows, sendo 96.671 credenciais únicas, que vazaram a partir de várias aplicações, tais como Microsoft Outlook, clientes de e-mail móvel e outras aplicações que fazem interface com o servidor Exchange da Microsoft.
O Autodiscover é um protocolo usado pelo Microsoft Exchange para configuração automática de clientes como o Microsoft Outlook. A falha de projeto permite que o protocolo “vaze” solicitações da web para domínios de Autodiscover fora do domínio do usuário, mas no mesmo TLD (por exemplo, o domínio Autodiscover.com).
Para comprovar o problema, a Guardicore Labs adquiriu vários domínios para Autodiscover e os configurou para fazer contato com um servidor web controlado pela empresa: “Logo em seguida, detectamos um vazamento massivo de credenciais de domínio do Windows que chegaram ao nosso servidor. Entre 16 de abril de 2021 e 25 de agosto de 2021, capturamos 372.072 credenciais de domínio do Windows”, diz o relatório.
O protocolo de descoberta automática tentará encontrar o URL de configuração em etapas. Primeiro, ele examinará os objetos de ponto de conexão de serviço (SCP) nos Serviços de Domínio Active Directory (AD DS). Se o endereço não estiver disponível porque o cliente não tem acesso ao AD, ou não pode acessá-lo, o protocolo construirá “candidatos” de URL de Autodiscover com base no domínio do endereço de e-mail inserido pelo usuário.
Veja isso
CSO conta como a Renner voltou ao ar em 48 horas
Guardicore descobre primeiro malware em arquivo .WAV
No caso de ser “[email protected]”, onde “example.com” é o nome de domínio da empresa, o serviço tentará alcançar:
https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
https://example.com/Autodiscover/Autodiscover.xml
http://example.com/Autodiscover/Autodiscover.xml
Até este ponto, tudo parece bastante seguro se considerarmos que example.com é o nome de domínio da empresa.
Mas se não houver resposta de nenhum deles, a rotina agressiva de pesquisa de URL do protocolo continuará tentando construir URLs e pode acabar tentando “Autodiscover + o TLD + o path: Autodiscover.com para o exemplo acima ou Autodiscover.com.br se o e-mail do usuário é [email protected] e assim por diante. O problema é que esses são nomes de domínio público ou de propriedade de outra pessoa.
Assinado pelo pesquisador Amit Serper, o relatório acrescenta que o problema é grave, “pois se um invasor puder controlar esses domínios ou tiver a capacidade de “farejar” o tráfego na mesma rede, pode capturar credenciais de domínio em texto simples (autenticação HTTP básica) que estão sendo transferidos pela rede. Além disso, se o invasor tiver recursos de envenenamento de DNS em grande escala (como um invasor de estado-nação), ele poderá drenar senhas sistematicamente, que vazarão por meio de uma campanha de envenenamento de DNS em grande escala com base nesses TLDs de Autodiscover”.
Com informações da assessoria de imprensa