Messagerie

Exchange : une faille de l’auto-découverte laisse fuiter des identifiants

Par hfrance , le 2 octobre 2021 - 4 minutes de lecture
Est-ce que mon PC est compatible Windows 11 ?
Notez l'article

Guardicore a découvert une faille dans les fonctions de découverte automatique d’Exchange. Son exploitation lui a permis de collecter les identifiants de 372 000 domaines Windows et de près de 97 000 applications.

L’autodiscover, un protocole utilisé par Microsoft Exchange, est à l’origine d’une énorme fuite de données d’authentification Windows et Microsoft, selon les recherches de Guardicore.

L’échange automatique est utilisé par Exchange pour configurer automatiquement les applications clientes telles que Microsoft Outlook. Dans une étude publiée mercredi, Amit Serper – le vice-président régional de Chardicore en charge de la recherche en sécurité – a expliqué que la fonctionnalité « a un défaut de conception qui provoque la » fuite « des applications Web dans des domaines Autodiscover en dehors de l’utilisateur « , mais dans le même top – domaine de niveau (TLD).

Les chercheurs de Guardicore ont ensuite testé la faille.

« Guardicore Labs a acquis plusieurs domaines Autodiscover avec un suffixe TLD et les a configurés pour accéder à un serveur Web que nous gérons », a écrit Amit Serper dans un article de blog. Ceci pourrez vous intéresser : Comment installer un serveur de messagerie Zimbra. « Peu de temps après, nous avons détecté une fuite massive d’informations crédibles sur le domaine Windows qui a atteint notre serveur. »

Certains des domaines achetés par le fournisseur incluent Autodiscover.com.br, Autodiscover.com.cn et Autodiscover.com.co ; L’article contient des détails techniques importants sur la façon dont les domaines ont été exploités.

Entre le 16 avril et le 25 août, Guardicore a exploité le déficit pour détenir 372 072 informations d’identification de domaine Windows et 96 671 informations d’identification uniques « qui ont été supprimées de diverses applications telles que Microsoft Outlook, des clients de messagerie mobile et d’autres applications d’interface serveur Exchange », a écrit Serper.

L’absence d’Autodiscover n’est pas un nouveau problème. Amit Serper note que Shape Security a découvert pour la première fois les principales faiblesses en 2017 et a présenté les résultats lors de l’étape asiatique de la conférence Black Hat cette année-là. À l’époque, les vulnérabilités – CVE-2016-9940 et CVE-2017-2414 – n’affectaient que les clients de messagerie des appareils mobiles. « Les vulnérabilités révélées par Shape Security ont été corrigées, et pourtant nous voici en 2021 avec un paysage de menaces beaucoup plus vaste, affectant exactement le même problème, mais avec davantage d’applications tierces en dehors de la messagerie des clients », a déclaré Amit Serper.

Son billet de blog présente deux solutions : la première au grand public et la seconde aux développeurs et éditeurs de logiciels.

Pour les utilisateurs d’Exchange, Guardicore recommande aux utilisateurs de bloquer les domaines de découverte automatique dans leurs pare-feu. Amit Serper indique également que lors de la configuration d’un échange, les utilisateurs doivent « s’assurer que la prise en charge de l’authentification de base est désactivée ». Il poursuit en expliquant que « l’utilisation de l’authentification HTTP de base revient à envoyer un mot de passe en clair sur le réseau ».

D’un autre côté, les développeurs doivent s’assurer qu’ils ne laissent pas le protocole de découverte automatique « échouer » : « assurez-vous que lorsque vous implémentez le protocole de découverte automatique dans votre produit, vous ne le laissez pas » atteindre le sommet. ”, Ce qui signifie des champs comme“ Autodiscover. « Ne devrait jamais être construit par l’algorithme » de sauvegarde « .

Différend sur la divulgation

Microsoft a reproché à Guardicore de ne pas avoir suivi le processus de divulgation des vulnérabilités avant de publier ses recherches. Le géant de Redmond a partagé la déclaration suivante avec SearchSecurity (groupe TechTarget), attribuée à son senior manager, Jeff Jones : « Nous enquêtons actuellement et prendrons les mesures appropriées pour protéger les clients. Nous nous engageons à une divulgation coordonnée des vulnérabilités, une approche collaborative conforme aux normes de l’industrie qui réduit les risques inutiles pour les clients avant l’annonce des problèmes. Malheureusement, ce problème n’a été porté à notre attention que lorsque l’équipe de recherche marketing l’a présenté aux médias, nous sommes donc au courant de ces affirmations aujourd’hui. « 

À cela, Amit Serper a répondu dans un tweet mercredi soir : « Mon rapport cite clairement les recherches de 2017 avec ce problème : regardez cet article en 2017, tel que présenté dans Black Hat Asia 2017. Si c’était 0day, j’en suis sûr. C’est 1460 jours, au moins. Dire que Microsoft ne ‘savait pas’ est ‘faux' ».

hfrance