Исследователи в области кибербезопасности из компании Guardicore обнаружили ошибку в почтовом сервере Microsoft Exchange. Проблема привела к утечке учетных данных домена и приложений Windows по всему миру.

Проблема находится в протоколе функции Microsoft Autodiscover почтовых серверов Microsoft Exchange, позволяющей почтовым клиентам автоматически обнаруживать почтовые серверы, предоставлять учетные данные, а затем получать надлежащие конфигурации. Протокол является важной частью почтовых серверов, поскольку позволяет администраторам легко убедиться, что клиенты используют правильные параметры SMTP, IMAP, LDAP, WebDAV и пр.

Но для получения автоматических настроек почтовые клиенты обычно проверяют связь с серией заранее определенных URL-адресов, полученных из домена электронного адреса пользователя.

По словам экспертов, механизм автоматического обнаружения использует процедуру «отката» на случай, если он не обнаружит конечную точку Autodiscover сервера Microsoft Exchange с первой попытки. Этот механизм «отката» и является виновником утечки данных, поскольку он всегда пытается разрешить часть домена Autodiscover и всегда будет пытаться «выйти из строя». Результатом следующей попытки создания URL-адреса Autodiscover будет: autodiscover.com/autodiscover/autodiscover[.]xml. Это означает, что владелец autodiscover[.]com получит все запросы, которые не могут достичь исходного домена.

Специалисты зарегистрировали серию доменов верхнего уровня на базе Autodiscover, которые все еще были доступны в интернете по всему миру. В период с 16 апреля 2021 года по 25 августа 2021 года данные серверы получали сотни запросов с тысячами учетных данных от пользователей, которые пытались настроить свои почтовые клиенты, но почтовые клиенты были неспособность найти подходящую конечную точку Autodiscover.

Проблема с большим количеством запросов заключалась в том, что на стороне клиента не было попытки проверить, доступен ли ресурс или даже существует ли он на сервере перед отправкой аутентифицированного запроса.

В общей сложности Guardicore получила 372 072 учетных данных для доменов Windows и 96 671 уникальный логин/пароль из различных приложений, таких как Microsoft Outlook. Учетные данные принадлежали производителям продуктов питания, инвестиционным банкам, электростанциям, компаниям в сфере недвижимости, логистики, а также публичным компаниям на китайском рынке.

Источник: securitylab.ru