Các nhà nghiên cứu Amit Serper và AVP của công ty bảo mật Guardicore đã phát hiện ra một lỗ hổng trong giao thức Microsoft Autodiscover của máy chủ email Microsoft Exchange có thể bị lạm dụng để thu thập thông tin đăng nhập vào ứng dụng và Windows domain từ người dùng trên toàn thế giới.
Lỗ hổng này liên quan đến một tính năng quan trọng của máy chủ email Exchange giúp quản trị viên dễ dàng đảm bảo máy khách sử dụng SMTP, IMAP, LDAP, WebDAV và các cài đặt khác thích hợp.
Để có được những cấu hình tự động này, ứng dụng email khách thường ping đến một loạt URL đã xác định từ miền địa chỉ email của người dùng:
Serper cho biết anh nhận thấy rằng cơ chế tự động phát hiện này đã sử dụng quy trình "dự phòng" (back-off) trong trường hợp nó không tìm thấy endpoint Autodiscover của máy chủ Exchange trong lần ping đầu tiên.
Cơ chế “back-off” này là nguyên nhân của sự rò rỉ thông tin. Nó luôn cố gắng để thực hiện việc phát hiện tên miền tự động bằng cách gửi các yêu cầu xác thực đến tên miền cấp cao hơn. Ví dụ như một nỗ lực phát hiện tự động Url:
http://autodiscover.com/autodiscover/autodiscover.xml sẽ dẫn đến bất kỳ ai sở hữu miền autodiscover.com đều sẽ nhận được tất cả các yêu cầu.
Dựa trên phát hiện của mình, Serper cho biết anh đã đăng ký một loạt tên miền cấp cao nhất dựa trên miền Autodiscover có sẵn, bao gồm:
Nhà nghiên cứu đã chạy các honeypot trên các máy chủ này để tìm hiểu quy mô của vấn đề.
Trong hơn bốn tháng, từ ngày 16 tháng 4 năm 2021 đến ngày 25 tháng 8 năm 2021, Serper cho biết các máy chủ này đã nhận được hàng trăm yêu cầu, với hàng nghìn thông tin đăng nhập từ những người dùng đang cố gắng thiết lập ứng dụng email của họ, nhưng ứng dụng đã không tìm thấy endpoint Autodiscover thích hợp.
“Guardicore đã thu thập được 372.072 thông tin đăng nhập Windows domain và 96.671 thông tin đăng nhập từ các ứng dụng khác nhau như Microsoft Outlook”.
Trong quá trình kiểm tra các miền kết nối với honeypots, Serper đã tìm thấy thông tin đăng nhập cho các công ty trong nhiều lĩnh vực như: sản xuất thực phẩn, ngân hàng, nhà máy điện, cung cấp năng lượng, địa ốc, vận chuyển và hậu cần, thời trang và trang sức và các công ty giao dịch công khai trên thị trường Trung Quốc.
Tất cả các thông tin xác thực được thu thập đều gửi qua HTTP và không được mã hóa.
Serper đã cung cấp một số biện pháp giảm thiểu để ngăn chặn những rò rỉ này cho quản trị viên hệ thống và nhà sản xuất phần mềm email. Microsoft cũng phát hành bản cập nhật mới cho giao thức Autodiscover.
Microsoft cũng cho biết họ đang tích cực điều tra và sẽ thực hiện các biện pháp thích hợp để bảo vệ khách hàng.
Nguồn: The record
Tín nhiệm mạng | Bộ Quốc phòng Litva đã kiểm tra an ninh đối với ba mẫu điện thoại thông minh do Trung Quốc sản xuất và khuyến cáo công dân nên tránh hoặc ngừng sử dụng hai trong số ba thiết bị vì lý do vi phạm quyền riêng tư và khả năng kiểm duyệt bí mật
Tín nhiệm mạng | Các hacker đang nhắm mục tiêu vào các máy chủ VMware vCenter chưa được vá lỗ hổng thực thi mã từ xa (RCE) thông qua tải lên tệp tùy ý, rất nhiều máy chủ VMware vCenter đang mở công khai trên Internet
Tín nhiệm mạng | Các quan chức Mỹ đã mở rộng cuộc điều tra đối với Binance về các vấn đề liên quan đến giao dịch nội bộ và thao túng thị trường.
Tín nhiệm mạng | Các nhóm hacker đang xâm nhập máy chủ Windows IIS để thêm các trang thông báo hết hạn chứng chỉ nhằm lừa người dùng tải xuống chương trình cài đặt giả mạo có chứa mã độc.
Tín nhiệm mạng | Các tổ chức thực thi pháp luật của Europol, Ý và Tây Ban Nha đã phối hợp để bắt giữ 106 thành viên nhóm mafia ở Ý vì vi phạm các tội danh liên quan đến tội phạm mạng và rửa tiền.
Tín nhiệm mạng | 'Watchful IP' đã cảnh báo về một lỗ hổng zero-click trong trong một số sản phẩm của Hikvision, cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
