Actualités

Autodiscover : le protocole usité sous Microsoft Exchange pouvait pointer automatiquement vers des noms de domaine tiers ! (URL-surprise…)

Le chercheur sécuritaire Amit Serper (via Guardicore), vient de soulever un lièvre insécuritaire massif : au cours d’investigation (PoC) effectuée entre le 16 Avril et le 25 Août 2021, une brèche sécuritaire est apparue au niveau d’Autodiscover. Ce protocole permet à une application-client de se connecter (end-point) aux services Exchange Web (EWS) de manière automatisée, à coup de requêtes, sous le Web donc, afin de se connecter jusqu’à ce que le système atteigne une URL ou un nom de domaine vers autodiscover et donc, théoriquement, vers une adresse sous-jacente théoriquement, des services en ligne de Microsoft, pour ne pas citer, par exemple, Microsoft Outlook ; problème : tout les noms de domaine ont un TLD commun (Autodiscover)…

 

 

“Il s’agit d’un grave problème de sécurité, car si un attaquant peut contrôler de tels domaines ou a la capacité de « renifler » le trafic dans le même réseau, il peut capturer les informations d’identification du domaine en texte brut (authentification de base HTTP) qui sont transférées via le câble. De plus, si l’attaquant dispose de capacités d’empoisonnement DNS à grande échelle (comme un attaquant d’un État-nation), il pourrait siphonner systématiquement les mots de passe qui fuient via une campagne d’empoisonnement DNS à grande échelle basée sur ces TLD de découverte automatique. De plus, nous avons développé une attaque – “The ol’ switcheroo” – qui rétrograde le schéma d’authentification d’un client d’un schéma sécurisé (OAuth, NTLM) à l’authentification de base HTTP où les informations d’identification sont envoyées en texte clair“, indique le chercheur, le 22 Septembre 2021, au sein d’un billet technique dédié, tout en pointant 372 072 noms de domaines Windows en ballot, 648 976 requêtes HTTP ainsi que 96 671 identifiants uniques (applications Web + tout ce qui a attrait avec EWS…).

 

La vulnérabilité prend sa source depuis la non-réponse de la requête Web, le fameux back-off. Comme évoqué plus en haut, la requête cherchera toujours à atteindre sa cible (une connexion automatique vers un domaine censé être sous la coupe – propriétaire – de Microsoft Exchange Web Services) en résolvant ce nom TLD (Autodiscover). Un individu malveillant ou curieux pourrait se servir des informations (URLs telles que : http://Autodiscover.com/Autodiscover/Autodiscover.xml) pour remonter au nom de domaine originel et exploiter la vulnérabilité dont le PoC repose sur les noms de domaines (achetés…) suivants :

 

  • Autodiscover.com.br – Brésil
  • Autodiscover.com.cn – Chine
  • Autodiscover.com.co – Colombie
  • Autodiscover.es – Espagne
  • Autodiscover.fr – France
  • Autodiscover.in – Inde
  • Autodiscover.it – Italie
  • Autodiscover.sg – Singapour
  • Autodiscover.uk – Royaume-Uni
  • Découverte automatique.xyz
  • Autodiscover.online
  • Découverte automatique.cc
  • Autodiscover.studio
  • autodiscover.capital
  • autodiscover.club
  • autodiscover.entreprise
  • autodiscover.jp
  • autodiscover.me
  • découverte automatique.mx
  • autodiscover.ventures

 

 

“Plus tard, ces domaines ont été attribués à un serveur Web sous notre contrôle et nous attendions simplement l’arrivée de demandes Web pour divers points de terminaison de découverte automatique. À notre grande surprise, nous avons commencé à voir des quantités importantes de demandes de points de terminaison de découverte automatique provenant de divers domaines, adresses IP et clients. La chose la plus notable à propos de ces demandes était qu’elles demandaient le chemin relatif de /Autodiscover/Autodiscover.xml avec l’en-tête d’autorisation déjà renseigné avec les informations d’identification dans l’authentification de base HTTP“, est-il souligné, ce qui indique de manière surréaliste mais vrai que Microsoft n’a établi (erreur ?) aucune procédure d’authentification préalable HTTP (envoi requête-client, renvoi requête-serveur Web, soumission requête-client, authentification-client par le serveur). Seul rempart (maigre) : même lorsque l’authentification est établie par ce biais malveillant et même dans le cadre, donc, d’un certificat numérique approuvé, un avertissement-système indique qu’il ne faut pas l’approuver car auto-signé. Un avertissement contournable, explique le chercheur, en envoyant un certificat SSL légitime voire un certificat Let’s Encrypt viable “en quelques secondes“.

 

Une fois cette étape passée, l’aspiration de donnée est entamée : l’utilisateur, qui ne se doute de rien, entrera ses identifiants de connexion ce qui, côté serveur (malveillant), permettra d’enregistrer le précieux sésame.

Pour combler la vulnérabilité et faute d’un patch officiel émanant de Microsoft, il est vivement recommander de :

 

  • Bloquer les noms de domaines cités plus en haut en listing (autodiscover.com etc…) au sein du pare-feu de l’anti-virus (un listing complet est disponible depuis Github, via un fichier TXT dédié) ;
  • Vérifier que l’option “Authentification Standard” est bien désactivée, afin de désactiver l’envoi éventuel sous HTTP des données personnelles ou sensibles ;
  • Concernant les administrateurs-réseau ou système : vérifier l’implémentation pour éviter le cas du “fail upwards” (échouer vers le haut), afin que les requêtes ne puissent pas entrer dans une situation de back-off.

 

Nous enquêtons activement et prendrons les mesures appropriées pour protéger les clients. Nous nous engageons à une divulgation coordonnée des vulnérabilités, une approche collaborative standard de l’industrie qui réduit les risques inutiles pour les clients avant que les problèmes ne soient rendus publics. Malheureusement, ce problème ne nous a pas été signalé avant que l’équipe de recherche marketing ne le présente aux médias, nous avons donc appris les allégations aujourd’hui“, indiquait le 22 Septembre 2021, Jeff Jones, responsable-directeur Senior au sein de Microsoft… A veiller !

 

 

 

Sources :

 




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.5