Haberler

Microsoft Exchange Server Autodiscover’daki Zafiyet Kimlik Bilgilerinin Çalınmasına Neden Oluyor

Mehmet Sait YILMAZ fotoğrafı Mehmet Sait YILMAZ Bir e-posta göndermek 22/09/2021
2 2 dakika okuma süresi

Microsoft Exchange’in Autodiscover özelliğinin uygulanmasındaki zafiyetler dünya çapında 100.000 kullanıcı adı ve parolanın sızdırmasına neden oldu.

Guardicore’un Güvenlik Araştırmaları Başkan Yardımcısı Amit Serper tarafından hazırlanan yeni bir raporda, Microsoft Exchange’deki bir hatadan ziyade Otomatik Bulma protokolünün yanlış uygulanmasının windows kimlik bilgilerinin üçüncü taraf güvenilmeyen web sitelerine gönderilmesine neden olduğunu ortaya koyuyor.

Microsoft Exchange Autodiscover özelliği nedir

Microsoft Exchange, bir  kullanıcının Microsoft Outlook gibi posta istemcisini kuruluşunun önceden tanımlanmış posta ayarlarıyla otomatik olarak yapılandırmak için Autodiscover (otomatik bulma özelliği) kullanır.

Bir Exchange kullanıcısı, Microsoft Outlook gibi bir e-posta istemcisine e-posta adresini ve parolasını girdiğinde, posta istemcisi çeşitli Exchange Autodiscover URL’lerinde kimlik doğrulaması yapmaya çalışır.

Serper  ‘[email protected]’ e-postasını kullanarak Autodiscover özelliğini test ettiğinde, posta istemcisinin aşağıdaki Autodiscover URL’lerinde kimlik doğrulaması yapmaya çalıştığı gördü.

  • https://Autodiscover.test.com/Autodiscover/Autodiscover.xml
  • http://Autodiscover.test.com/Autodiscover/Autodiscover.xml
  • https://test.com/Autodiscover/Autodiscover.xml
  • http://test.com/Autodiscover/Autodiscover.xml

Posta istemcisi, Microsoft Exchange sunucusunda başarıyla doğrulanana ve yapılandırma bilgileri istemciye geri gönderilene kadar her URL’yi dener.

Kimlik bilgilerini sızdırma

İstemci yukarıdaki URL’lerde kimlik doğrulaması yapamazsa Serper, Microsoft Outlook dahil bazı posta istemcilerinin bir “geri çekme” prosedürü gerçekleştirildiği tespit edildi. Bu prosedür, TLD’nin kullanıcının e-posta adresinden türetildiği autodiscover.[tld] etki alanı gibi kimlik doğrulaması yapılacak ek URL’ler oluşturmaya çalışır.

Bu özel durumda, oluşturulan URL http://Autodiscover.com/Autodiscover/Autodiscover.xml’dir.

Otomatik bulma protokolünün yanlış uygulanması, posta istemcilerinin, sorunun başladığı autodiscover.com gibi güvenilmeyen etki alanlarında kimlik doğrulaması yapmasına neden oluyor.

E-posta kullanıcısının kuruluşu, bu etki alanına sahip olmadığından ve kimlik bilgileri URL’ye otomatik olarak gönderildiğinden, etki alanı sahibinin kendisine gönderilen tüm kimlik bilgilerini toplamasına olanak tanır.

Güvenlik araştırmacıları bunu test etmek içi, aşağıdaki etki alanlarını kaydettirdi ve Microsoft Exchange Autodiscover özelliği tarafından kaç tane kimlik bilgisinin sızdırılacağını görmek için her birine web sunucuları kurdu.

  • Autodiscover.com.br – Brazil
  • Autodiscover.com.cn – China
  • Autodiscover.com.co – Columbia
  • Autodiscover.es – Spain
  • Autodiscover.fr – France
  • Autodiscover.in – India
  • Autodiscover.it – Italy
  • Autodiscover.sg – Singapore
  • Autodiscover.uk – United Kingdom
  • Autodiscover.xyz
  • Autodiscover.online

Bu alanlar kaydedildikten ve kullanıldıktan sonra Microsoft Outlook dahil olmak üzere e-posta istemcilerinin temel kimlik doğrulamalarını kullanarak birçok hesap kimlik bilgilerini göndererek onları kolayca görüntülenebilir hale getirildiği keşfedildi.

NTLM ve Oauth kullanarak kimlik bilgileri gönderen Microsoft Outlook istemcileri için istemciyi isteği temel kimlik doğrulama isteğine düşürmeye zorlayacak “The ol’ switcheroo” adlı bir saldırı oluşturdu. Bu, araştırmacının kullanıcı için açık metin şifrelerine erişmesine bir kez daha izin verecektir.

20 Nisan 2021 ve 25 Ağustos 2021 tarihleri ​​arasında bu testleri gerçekleştirirken araştırmacılar aşağıdaki bilgileri ele geçirdi:

  • Autodiscover, etki alanlarını hedefleyen 648.976 HTTP isteği.
  • 372.072 temel kimlik doğrulama istekleri.
  • 96.671 benzersiz önceden doğrulanmış istek.

Araştırmacılar kimlik bilgilerini gönderen sektörleri aşağıdaki gibi sıraladı:

  • Çin pazarında halka açık şirketler
  • Gıda üreticileri
  • Yatırım bankaları
  • Enerji santralleri
  • Güç dağıtım sektörü
  • Emlak sektörü
  • Nakliye ve lojistik sektörü
  • Moda ve takı sektörü

Microsoft Exchange Autodiscover sızıntılarını azaltma

  • Microsoft Exchange kullanan kuruluşlar cihazlarınızın bunlara bağlanamaması için güvenlik duvarınızda veya DNS sunucunuzda tüm Autodiscover.[tld] alan adlarını engellemesi.
  • Kimlik bilgilerini açık metin olarak gönderdiğinden, kuruluşların temel kimlik doğrulamasını devre dışı bırakmaları.

Şu an için Microsoft’tan konu ile ilgili bir açıklama gelmiş değil.

Kaynak: bleepingcomputer.com

Mehmet Sait YILMAZ fotoğrafı Mehmet Sait YILMAZ Bir e-posta göndermek 22/09/2021
2 2 dakika okuma süresi
Mehmet Sait YILMAZ fotoğrafı

Mehmet Sait YILMAZ

İlgili Makaleler

Cisco Kullanıcıları Dikkat! Zero-Day Zafiyeti Kullanılmaya Başlandı

25/04/2024

Progress Flowmon İçin Update Vakti

25/04/2024

Exchange Server Nisan 2024 Hotfix Yayımlandı

23/04/2024

Windows 10 Kullanıcılarına Yönelik Uyarılar: Destek Sonu ve Microsoft Hesabı Değişikliği

20/04/2024

2 Yorum

  1. Dns sunucusunda tld erişimlerini kapatın kısmını anlamadım. Zaten dnslerimizde böyle bir kayıt yok ki

    Yanıtla

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu