Microsoft Exchange’in Autodiscover özelliğinin uygulanmasındaki zafiyetler dünya çapında 100.000 kullanıcı adı ve parolanın sızdırmasına neden oldu.
Guardicore’un Güvenlik Araştırmaları Başkan Yardımcısı Amit Serper tarafından hazırlanan yeni bir raporda, Microsoft Exchange’deki bir hatadan ziyade Otomatik Bulma protokolünün yanlış uygulanmasının windows kimlik bilgilerinin üçüncü taraf güvenilmeyen web sitelerine gönderilmesine neden olduğunu ortaya koyuyor.
Microsoft Exchange Autodiscover özelliği nedir
Microsoft Exchange, bir kullanıcının Microsoft Outlook gibi posta istemcisini kuruluşunun önceden tanımlanmış posta ayarlarıyla otomatik olarak yapılandırmak için Autodiscover (otomatik bulma özelliği) kullanır.
Bir Exchange kullanıcısı, Microsoft Outlook gibi bir e-posta istemcisine e-posta adresini ve parolasını girdiğinde, posta istemcisi çeşitli Exchange Autodiscover URL’lerinde kimlik doğrulaması yapmaya çalışır.
Serper ‘amit@test.com’ e-postasını kullanarak Autodiscover özelliğini test ettiğinde, posta istemcisinin aşağıdaki Autodiscover URL’lerinde kimlik doğrulaması yapmaya çalıştığı gördü.
- https://Autodiscover.test.com/Autodiscover/Autodiscover.xml
- http://Autodiscover.test.com/Autodiscover/Autodiscover.xml
- https://test.com/Autodiscover/Autodiscover.xml
- http://test.com/Autodiscover/Autodiscover.xml
Posta istemcisi, Microsoft Exchange sunucusunda başarıyla doğrulanana ve yapılandırma bilgileri istemciye geri gönderilene kadar her URL’yi dener.
Kimlik bilgilerini sızdırma
İstemci yukarıdaki URL’lerde kimlik doğrulaması yapamazsa Serper, Microsoft Outlook dahil bazı posta istemcilerinin bir “geri çekme” prosedürü gerçekleştirildiği tespit edildi. Bu prosedür, TLD’nin kullanıcının e-posta adresinden türetildiği autodiscover.[tld] etki alanı gibi kimlik doğrulaması yapılacak ek URL’ler oluşturmaya çalışır.
Bu özel durumda, oluşturulan URL http://Autodiscover.com/Autodiscover/Autodiscover.xml’dir.
Otomatik bulma protokolünün yanlış uygulanması, posta istemcilerinin, sorunun başladığı autodiscover.com gibi güvenilmeyen etki alanlarında kimlik doğrulaması yapmasına neden oluyor.
E-posta kullanıcısının kuruluşu, bu etki alanına sahip olmadığından ve kimlik bilgileri URL’ye otomatik olarak gönderildiğinden, etki alanı sahibinin kendisine gönderilen tüm kimlik bilgilerini toplamasına olanak tanır.
Güvenlik araştırmacıları bunu test etmek içi, aşağıdaki etki alanlarını kaydettirdi ve Microsoft Exchange Autodiscover özelliği tarafından kaç tane kimlik bilgisinin sızdırılacağını görmek için her birine web sunucuları kurdu.
- Autodiscover.com.br – Brazil
- Autodiscover.com.cn – China
- Autodiscover.com.co – Columbia
- Autodiscover.es – Spain
- Autodiscover.fr – France
- Autodiscover.in – India
- Autodiscover.it – Italy
- Autodiscover.sg – Singapore
- Autodiscover.uk – United Kingdom
- Autodiscover.xyz
- Autodiscover.online
Bu alanlar kaydedildikten ve kullanıldıktan sonra Microsoft Outlook dahil olmak üzere e-posta istemcilerinin temel kimlik doğrulamalarını kullanarak birçok hesap kimlik bilgilerini göndererek onları kolayca görüntülenebilir hale getirildiği keşfedildi.
NTLM ve Oauth kullanarak kimlik bilgileri gönderen Microsoft Outlook istemcileri için istemciyi isteği temel kimlik doğrulama isteğine düşürmeye zorlayacak “The ol’ switcheroo” adlı bir saldırı oluşturdu. Bu, araştırmacının kullanıcı için açık metin şifrelerine erişmesine bir kez daha izin verecektir.
20 Nisan 2021 ve 25 Ağustos 2021 tarihleri arasında bu testleri gerçekleştirirken araştırmacılar aşağıdaki bilgileri ele geçirdi:
- Autodiscover, etki alanlarını hedefleyen 648.976 HTTP isteği.
- 372.072 temel kimlik doğrulama istekleri.
- 96.671 benzersiz önceden doğrulanmış istek.
Araştırmacılar kimlik bilgilerini gönderen sektörleri aşağıdaki gibi sıraladı:
- Çin pazarında halka açık şirketler
- Gıda üreticileri
- Yatırım bankaları
- Enerji santralleri
- Güç dağıtım sektörü
- Emlak sektörü
- Nakliye ve lojistik sektörü
- Moda ve takı sektörü
Microsoft Exchange Autodiscover sızıntılarını azaltma
- Microsoft Exchange kullanan kuruluşlar cihazlarınızın bunlara bağlanamaması için güvenlik duvarınızda veya DNS sunucunuzda tüm Autodiscover.[tld] alan adlarını engellemesi.
- Kimlik bilgilerini açık metin olarak gönderdiğinden, kuruluşların temel kimlik doğrulamasını devre dışı bırakmaları.
Şu an için Microsoft’tan konu ile ilgili bir açıklama gelmiş değil.
Kaynak: bleepingcomputer.com