Exchange Autodiscover peut entraîner une fuite d’identifiants Outlook

Une fonctionnalité de découverte automatique dans Exchange et Outlook et d’autres applications clientes Exchange tierces peuvent filtrer les informations d’identification de domaine Windows en texte brut vers des serveurs externes. Voici ce que les entreprises peuvent faire maintenant pour atténuer les risques.

Les chercheurs en sécurité signalent qu’en raison d’un problème de conception dans la fonctionnalité de découverte automatique de Microsoft Exchange, Outlook et d’autres applications clientes Exchange tierces peuvent filtrer les informations d’identification de domaine Windows claires vers des serveurs externes. Le risque est nettement plus élevé pour les appareils utilisés en dehors des réseaux d’entreprise, un scénario courant pendant la pandémie. Le protocole de découverte automatique de Microsoft pour Exchange permet aux applications clientes de configurer automatiquement leur connexion à Exchange.

Ils le font sur la base d’un fichier de configuration distant hébergé sur ce qui est censé être un domaine d’entreprise. Cependant, en raison d’un problème de conception déjà identifié dans le passé, le protocole peut finir par rechercher une configuration sur des domaines externes qui sont ou peuvent être enregistrés par n’importe qui. En août, des chercheurs de la société de sécurité Guardicore ont enregistré certains de ces domaines externes et, en une semaine environ, ils ont pu collecter 96 671 identifiants d’utilisateurs uniques auprès des entreprises.

Des domaines enregistrés depuis plusieurs années

« Le service Autodiscover Discovery permet à votre application cliente de se configurer facilement avec une intervention minimale de l’utilisateur », indique la documentation Microsoft. “La plupart des utilisateurs connaissent leur adresse e-mail et leur mot de passe, et avec ces deux informations, vous pouvez récupérer tous les autres détails dont vous avez besoin pour être opérationnel”, indique la documentation. Pour les clients des services Web Exchange (EWS), la découverte automatique est généralement utilisée pour rechercher l’URL du point de terminaison EWS, mais la découverte automatique peut également fournir des informations pour configurer les clients qui utilisent d’autres protocoles. La découverte automatique fonctionne pour les applications clientes qui sont activées ou désactivées pare-feu et fonctionnent dans une forêt de ressources Exchange (également appelée forêt Exchange dédiée) et dans une topologie inter-forêt Exchange.

Le protocole de découverte automatique essaiera de trouver l’URL de configuration par phases. Tout d’abord, il apparaît dans les objets de point de connexion de service (SCP) des services de domaine Active Directory (AD DS). Si cela n’est pas possible parce que le client n’a pas ou ne peut pas accéder à AD, le protocole construit des URL candidates de découverte automatique en fonction du domaine de l’adresse e-mail saisie par l’utilisateur. Pour [email protected], où example.com est le nom de domaine de l’entreprise, le service essaie d’atteindre :

– https://Autodiscover.example.com/Autodiscover/Autodiscover.xml

– http://Autodiscover.example.com/Autodiscover/Autodiscover.xml

– https://example.com/Autodiscover/Autodiscover.xml

– http://example.com/Autodiscover/Autodiscover.xml

Jusqu’à présent, tout semble assez sûr étant donné que example.com est le nom de domaine de l’entreprise. Mais s’il n’y a pas de réponse de l’un ou de l’autre, la routine de recherche d’URL agressive essaiera toujours de créer des URL candidates et peut finir par essayer la découverte automatique + le domaine de premier niveau (TLD).) + chemin U : Autodiscover.com pour l’exemple ci-dessus ou Autodiscover.com si l’adresse e-mail de l’utilisateur est [email protected] etc. Le problème est que ce sont des noms de domaine public que quelqu’un d’autre possède.

“Guardicore a enregistré certains de ces domaines et certains sont enregistrés par d’autres parties depuis plusieurs années”, a déclaré Amit Serper, vice-président de la recherche en sécurité chez Guardicore. Cette recherche a probablement été effectuée après la publication en 2017 d’un document de recherche par des chercheurs de Shape Security dans lequel ils ont identifié le même problème de collision de domaine Autodiscover tout en enquêtant sur le client de messagerie. De Samsung à Android est l’application iOS Mail d’Apple. « Le problème est à la fois de savoir comment Microsoft a conçu le protocole initial, mais aussi comment les tiers l’ont mis en œuvre », a déclaré Amit Serper. “C’est donc un problème de conception et de mise en œuvre”, a-t-il ajouté. Il a également déclaré que le serveur Web de Guardicore recevait non seulement des demandes de Microsoft Outlook, mais également d’applications tierces qui s’interfacent avec Exchange et ne sont pas des clients de messagerie. Guardicore respecte toujours son engagement de divulgation responsable avec les développeurs de certaines de ces applications et a refusé de les appeler jusqu’à ce qu’il ait eu la possibilité de corriger ses implémentations.

Identifiants en clair et attaques par rétrogradation

Un autre aspect du problème est que bon nombre des demandes observées par Guardicore incluent des identifiants en texte clair codés en base64 sans que le serveur ne nécessite une authentification. “Le problème intéressant avec beaucoup de requêtes que nous recevons est que, de la part du client, rien n’est fait pour vérifier si la ressource est disponible, voire si elle existe sur le serveur, avant de l’envoyer. A partir d’une requête authentifiée, ont dit les chercheurs. « Habituellement, la mise en œuvre de ce type de scénario consisterait à vérifier d’abord si la ressource demandée par le client est valide, car elle pourrait être inexistante (ce qui déclencherait une erreur HTTP 404) ou être protégée par un mot de passe (ce qui déclencherait une erreur HTTP erreur 401) “.

Microsoft Outlook essaie parfois de s’authentifier avec un jeton au lieu d’un nom d’utilisateur et d’un mot de passe, mais le serveur malveillant peut effectuer une soi-disant attaque de démonstration ou de sauvegarde où il indique au client que les jetons ne sont pas acceptés. . Le client est ensuite invité à s’authentifier et, si le serveur ne dispose pas d’un certificat TLS de confiance, un avertissement est généré. Cependant, un attaquant peut facilement corriger cet avertissement en obtenant un certificat gratuit pour le domaine qu’il possède auprès de Let’s Encrypt. L’utilisation de l’authentification HTTP de base avec des informations d’identification claires soulève un grave problème de sécurité si l’attaquant peut bloquer le trafic sur le réseau du même utilisateur ou s’il peut lancer une attaque d’empoisonnement du cache DNS.

Les informations d’identification collectées par les chercheurs provenaient de différentes versions d’Outlook, mais lorsqu’ils ont essayé de reproduire ce comportement en laboratoire, ils n’ont pas toujours réussi sans l’aide de l’attaque par démission. “Je pense que c’est une sorte d’installation [sur ces systèmes]”, a déclaré Amit Serper. « Par exemple, l’utilisateur travaille depuis son bureau avec son ordinateur portable. Il est connecté au réseau de l’entreprise et a accès à tous ces serveurs. Ensuite, il ramène son ordinateur portable à la maison pour continuer à travailler. Mais il n’est pas connecté au VPN ou pour une raison quelconque, ces serveurs ne sont pas accessibles depuis leur domicile. Donc, cette tâche est juste en profondeur, essaie de se connecter au serveur et finit par filtrer les mots de passe », a-t-il expliqué.

Mesures d’atténuation

Pour protéger ses utilisateurs, en particulier les travailleurs mobiles, les entreprises doivent implémenter des règles de pare-feu de point de terminaison qui bloquent les requêtes vers tous les domaines Autodiscover.TLD. Guardicore a créé une liste de ces domaines de découverte automatique à risque qui peuvent être ajoutés au disque dur de votre ordinateur, empêchant ces domaines de se résoudre via DNS. En outre, lors de la mise en œuvre d’Exchange, les administrateurs doivent s’assurer que l’authentification de base HTTP est désactivée afin que les informations d’identification en texte brut ne soient pas envoyées sur le réseau. Enfin, les développeurs d’applications qui implémentent le protocole Autodiscover Discovery doivent s’assurer que le protocole n’échoue pas à un niveau élevé, c’est-à-dire qu’il se perpétue malgré les échecs, et ne crée pas d’URL. Microsoft n’a pas immédiatement répondu à une demande de commentaire.

How do I set up Autodiscover in Office 365?

Accédez à l’application Outlook dans le menu de l’application, cliquez dessus et sélectionnez l’option « Tester la configuration automatique des e-mails ». « Entrez les informations d’identification de l’utilisateur, cochez l’option « Découverte automatique de l’utilisateur » et cliquez sur le bouton Tester. Le système vérifiera la connexion et fournira un message de « succès » sur une connexion propre.

Qu’est-ce que le serveur de découverte automatique pour Office 365 ? La découverte automatique est un service ou une fonctionnalité qui permet aux administrateurs Outlook de configurer les paramètres de profil utilisateur pour Outlook 2007 et versions ultérieures. L’avantage de ce service est qu’il établit des connexions initiales aux boîtes aux lettres des utilisateurs Exchange, afin que les utilisateurs puissent accéder à de nombreuses fonctionnalités telles que le carnet d’adresses hors connexion.

Is Autodiscover required for Office 365?

Enregistrements DNS externes requis pour le courrier électronique dans Office 365 (Exchange Online) Le courrier électronique dans Office 365 nécessite plusieurs enregistrements différents. Les trois registres principaux que tous les clients doivent utiliser sont les registres Automatic Discovery, MX et SPF. … L’enregistrement MX indique aux autres systèmes de messagerie où envoyer les e-mails pour votre domaine.

How do I enable Autodiscover in Outlook?

Pour configurer Outlook avec la fonctionnalité de découverte automatique :

• Allez dans Démarrer> Panneau de configuration> Courrier> Afficher les profils et cliquez sur Ajouter. …
• Saisissez deux fois votre nom d’utilisateur, votre adresse e-mail principale et votre mot de passe de boîte aux lettres, puis cliquez sur Suivant. …
• Lorsque vous obtenez une invite de sécurité, cochez la case Ne plus me demander sur ce site Web, puis cliquez sur Autoriser.

Why my Microsoft Outlook Cannot open?

Les profils Outlook peuvent être corrompus, causant toutes sortes de problèmes, y compris Outlook qui ne s’ouvre pas. Sélectionnez Fichier & gt; Paramètres du compte & gt; Paramètres du compte. Allez dans l’onglet Courriel. Choisissez Réparer pour ouvrir l’assistant de réparation (cette option n’est pas disponible pour les comptes Outlook Exchange).

Pourquoi ne puis-je pas accéder à mon Microsoft Outlook ? Si vous rencontrez toujours des problèmes de connexion, vous devrez peut-être : Vérifier l’état du service pour Outlook.com. Réinitialisez votre mot de passe. Si vous avez récemment modifié votre mot de passe, essayez à nouveau de saisir votre ancien mot de passe.

How do I fix Outlook not opening?

Comment réparer Outlook qui ne s’ouvre pas dans Windows

• Fermez toutes les applications Office.
• Allez dans Démarrer> Panneau de configuration.
• Choisissez Vue par catégorie.
• Dans la section Programmes, sélectionnez Désinstaller un programme.
• Cliquez avec le bouton droit sur Microsoft Office et sélectionnez Modifier.
• Sélectionnez Réparation en ligne ou Réparation. …
• Redémarrez Outlook après la fin du processus.

Is Outlook and Exchange the same thing?

Exchange est le logiciel qui fournit le back-end à un système intégré pour le courrier électronique, le calendrier, la messagerie et les activités. … Outlook est une application installée sur votre ordinateur (Windows ou Macintosh) qui peut être utilisée pour communiquer (et se synchroniser) avec le système Exchange.

Avez-vous besoin de Microsoft Exchange pour utiliser Outlook ? Microsoft Outlook est une application de communications électroniques également incluse dans la suite Microsoft Office 365. … Il est possible d’utiliser Outlook sans se connecter à Exchange, même si vous devez travailler hors ligne, éliminant ainsi l’accès à la messagerie électronique et aux autres compétences de collaboration.

Is Outlook part of Microsoft Exchange?

Outlook fait partie de la suite de logiciels et de programmes Microsoft Office qui vous permet de gérer vos e-mails, contacts, carnet d’adresses, activités, calendrier, le tout en un seul endroit. Microsoft Exchange Online est une solution de messagerie hébergée qui offre les capacités de Microsoft Exchange Server en tant que service basé sur le cloud.

Do I have Outlook or Exchange?

Pour déterminer à quelle version d’Exchange votre compte se connecte, procédez comme suit :

• Avec Microsoft Outlook en cours d’exécution, maintenez la touche CTRL enfoncée tout en cliquant avec le bouton droit sur l’icône Outlook dans la zone de notification, à l’extrême droite de la barre des tâches.
• Cliquez sur État de la connexion.
• Déplacez le curseur horizontal vers la droite.