🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Lỗ hổng gây rò rỉ hàng trăm nghìn thông tin đăng nhập Microsoft Exchange

24/09/2021

Các nhà nghiên cứu Amit Serper và AVP của công ty bảo mật Guardicore đã phát hiện ra một lỗ hổng trong giao thức  Microsoft Autodiscover của máy chủ email Microsoft Exchange có thể bị lạm dụng để thu thập thông tin đăng nhập vào ứng dụng và Windows domain từ người dùng trên toàn thế giới.

Lỗ hổng này liên quan đến một tính năng quan trọng của máy chủ email Exchange giúp quản trị viên dễ dàng đảm bảo máy khách sử dụng SMTP, IMAP, LDAP, WebDAV và các cài đặt khác thích hợp.

Để có được những cấu hình tự động này, ứng dụng email khách thường ping đến một loạt URL đã xác định từ miền địa chỉ email của người dùng:

  • https://autodiscover.example.com/autodiscover/autodiscover.xml
  • http://autodiscover.example.com/autodiscover/autodiscover.xml
  • https://example.com/autodiscover/autodiscover.xml
  • http://example.com/autodiscover/autodiscover.xml

Serper cho biết anh nhận thấy rằng cơ chế tự động phát hiện này đã sử dụng quy trình "dự phòng" (back-off) trong trường hợp nó không tìm thấy endpoint Autodiscover của máy chủ Exchange trong lần ping đầu tiên.

Cơ chế “back-off” này là nguyên nhân của sự rò rỉ thông tin. Nó luôn cố gắng để thực hiện việc phát hiện  tên miền tự động bằng cách gửi các yêu cầu xác thực đến tên miền cấp cao hơn. Ví dụ như một nỗ lực phát hiện tự động Url:

http://autodiscover.com/autodiscover/autodiscover.xml sẽ dẫn đến bất kỳ ai sở hữu miền autodiscover.com đều sẽ nhận được tất cả các yêu cầu.

Dựa trên phát hiện của mình, Serper cho biết anh đã đăng ký một loạt tên miền cấp cao nhất dựa trên miền Autodiscover có sẵn, bao gồm:

  • Autodiscover.com.br - Brazil
  • Autodiscover.com.cn - Trung Quốc
  • Autodiscover.com.co - Columbia
  • Autodiscover.es - Tây Ban Nha
  • Autodiscover.fr - Pháp
  • Autodiscover.in - Ấn Độ
  • Autodiscover.it - ​​Ý
  • Autodiscover.sg - Singapore
  • Autodiscover.uk - Anh
  • Autodiscover.xyz
  • Autodiscover.online

Nhà nghiên cứu đã chạy các honeypot trên các máy chủ này để tìm hiểu quy mô của vấn đề.

Trong hơn bốn tháng, từ ngày 16 tháng 4 năm 2021 đến ngày 25 tháng 8 năm 2021, Serper cho biết các máy chủ này đã nhận được hàng trăm yêu cầu, với hàng nghìn thông tin đăng nhập từ những người dùng đang cố gắng thiết lập ứng dụng email của họ, nhưng ứng dụng đã không tìm thấy endpoint Autodiscover thích hợp.

“Guardicore đã thu thập được 372.072 thông tin đăng nhập Windows domain và 96.671 thông tin đăng nhập từ ​​các ứng dụng khác nhau như Microsoft Outlook”.

Trong quá trình kiểm tra các miền kết nối với honeypots, Serper đã tìm thấy thông tin đăng nhập cho các công ty trong nhiều lĩnh vực như: sản xuất thực phẩn, ngân hàng, nhà máy điện, cung cấp năng lượng, địa ốc, vận chuyển và hậu cần, thời trang và trang sức và các công ty giao dịch công khai trên thị trường Trung Quốc.

Tất cả các thông tin xác thực được thu thập đều gửi qua HTTP và không được mã hóa.

Serper đã cung cấp một số biện pháp giảm thiểu để ngăn chặn những rò rỉ này cho quản trị viên hệ thống và nhà sản xuất phần mềm email. Microsoft cũng phát hành bản cập nhật mới cho giao thức Autodiscover.

Microsoft cũng cho biết họ đang tích cực điều tra và sẽ thực hiện các biện pháp thích hợp để bảo vệ khách hàng.

Nguồn: The record

scrolltop