Il problema è nel protocollo della funzionalità Microsoft Autodiscover dei server di posta Microsoft Exchange.
I ricercatori di sicurezza informatica di Guardicore hanno scoperto un bug nel server di posta di Microsoft Exchange. Il problema ha portato alla fuga di credenziali di dominio e applicazioni Windows in tutto il mondo.
Il problema risiede nel protocollo della funzionalità Microsoft Autodiscover dei server di posta Microsoft Exchange, che consente ai client di posta di rilevare automaticamente i server di posta, fornire credenziali e quindi recuperare le configurazioni corrette. Il protocollo è una parte importante dei server di posta in quanto consente agli amministratori di verificare facilmente che i client utilizzino SMTP, IMAP, LDAP, WebDAV e altro ancora corretti.
Ma per ottenere impostazioni automatiche, i client di posta elettronica di solito controllano una serie di URL predefiniti ottenuti dal dominio dell’indirizzo di posta elettronica dell’utente.
Secondo gli esperti, il meccanismo di individuazione automatica utilizza una procedura di “rollback” nel caso in cui non trovi l’endpoint di individuazione automatica del server Microsoft Exchange al primo tentativo. Questo meccanismo di “ripristino” è il colpevole della perdita di dati perché cerca sempre di risolvere una parte del dominio di individuazione automatica e tenterà sempre di “fallire”. Il prossimo tentativo di generare l’URL di individuazione automatica risulterà in: autodiscover.com/autodiscover/autodiscover [.] xml. Ciò significa che il proprietario dell’individuazione automatica [.] Com riceverà tutte le richieste che non possono raggiungere il dominio originale.
Gli specialisti hanno registrato una serie di domini di primo livello basati su Autodiscover, che erano ancora disponibili su Internet in tutto il mondo. Tra il 16 aprile 2021 e il 25 agosto 2021, questi server hanno ricevuto centinaia di richieste con migliaia di credenziali da utenti che hanno provato a configurare i propri client di posta elettronica, ma i client di posta elettronica non sono stati in grado di trovare un endpoint di individuazione automatica adatto.
Il problema con molte richieste era che non c’era alcun tentativo da parte del client di verificare se la risorsa è disponibile o anche se esiste sul server prima di inviare una richiesta autenticata.
In totale, Guardicore ha ricevuto 372.072 credenziali per i domini Windows e 96.671 login/password univoci da varie applicazioni come Microsoft Outlook. Le credenziali appartenevano a produttori alimentari, banche di investimento, centrali elettriche, società immobiliari, società di logistica e società pubbliche nel mercato cinese.