DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Rò rỉ hàng trăm nghìn thông tin đăng nhập do lỗi giao thức Microsoft Exchange
Các nhà nghiên cứu an ninh mạng có thể thu thập hàng trăm nghìn thông tin đăng nhập ứng dụng và miền Windows do lỗi thiết kế và triển khai giao thức Autodiscover được sử dụng bởi Microsoft Exchange.
Dịch vụ Microsoft Exchange Autodiscover cho phép người dùng dễ dàng cấu hình ứng dụng thư khách. Ví dụ, để cấu hình ứng dụng khách Outlook chỉ cần cung cấp tên người dùng và mật khẩu là đủ.
Ngay từ năm 2017, các nhà nghiên cứu đã cảnh báo vấn đề lộ lọt thông tin liên quan đến giao thức Autodiscover trên ứng dụng email di động, lỗi này hiện tại đã được vá. Tuy nhiên, một phân tích được công ty bảo mật Guardicore đưa ra vào đầu năm, cho thấy vẫn còn một số vấn đề nghiêm trọng trong việc thiết kế và triển khai Autodiscover.
Vấn đề liên quan đến cơ chế "back-off". Khi Autodiscover được sử dụng để cấu hình một máy khách, máy khách sẽ tạo một URL dựa trên địa chỉ email do người dùng cung cấp. Một URL có dạng https://Autodiscover.example.com/Autodiscover/Autodiscover.xml hoặc https://example.com/Autodiscover/Autodiscover.xml.
Tuy nhiên, nếu không có URL nào phản hồi, cơ chế back-off sẽ khởi động và cố gắng liên hệ với một URL có định dạng: http://Autodiscover.com/Autodiscover/Autodiscover.xml
Guardicore cho biết: "Điều này có nghĩa là bất kỳ ai sở hữu tên miền Autodiscover.com sẽ nhận được tất cả các yêu cầu URL không được phản hồi."
Guardicore đã đăng ký rất nhiều tên miền Autodiscover (ví dụ: Autodiscover.com.cn, Autodiscover.es, Autodiscover.in, Autodiscover.uk) và gán chúng cho một máy chủ web dưới sự kiểm soát của công ty.
Theo thống kê, từ ngày 16 tháng 4 năm 2021 đến ngày 25 tháng 8 năm 2021, máy chủ web này đã thu nhập được hơn 370.000 thông tin đăng nhập miền Windows, và hơn 96.000 thông tin đăng nhập từ các ứng dụng như Outlook và ứng dụng email di động.
Guardicore nói: "Đây là một vấn đề nghiêm trọng, vì nếu kẻ tấn công có thể kiểm soát các miền hoặc có khả năng đánh cắp lưu lượng truy cập trong cùng một mạng, chúng có thể thu thập thông tin đăng nhập miền ở dạng văn bản thuần túy (xác thực HTTP cơ bản) đang được chuyển qua mạng. Hơn nữa, kẻ tấn công có thể lấy mật khẩu qua một chiến dịch đầu độc DNS quy mô lớn qua khai thác lỗ hổng của các Autodiscover TLD".
Ngoài ra, kịch bản tấn công hạ cấp cơ chế xác thực của máy khách có thể xảy ra, cho phép kẻ tấn công đọc thông tin xác thực ở dạng bản rõ. Mặc dù, máy khách sẽ sử dụng các cơ chế xác thực an toàn như NTLM hoặc OAuth mặc định, tuy nhiên, bằng việc hạ cấp chuyển sang giao thức xác thực HTTP cơ bản, kẻ tấn công có thể lấy được thông tin dễ dàng.
Guardicore nói rằng việc rò rỉ dữ liệu xảy ra do các nhà phát triển ứng dụng triển khai không đúng cách giao thức Autodiscover, vì vậy, để ngăn ngừa điều này, nhà phát triển cần kiểm soát chặt sẽ hơn các URL để không bị kẻ tấn công lạm dụng.
Dịch vụ Microsoft Exchange Autodiscover cho phép người dùng dễ dàng cấu hình ứng dụng thư khách. Ví dụ, để cấu hình ứng dụng khách Outlook chỉ cần cung cấp tên người dùng và mật khẩu là đủ.
Ngay từ năm 2017, các nhà nghiên cứu đã cảnh báo vấn đề lộ lọt thông tin liên quan đến giao thức Autodiscover trên ứng dụng email di động, lỗi này hiện tại đã được vá. Tuy nhiên, một phân tích được công ty bảo mật Guardicore đưa ra vào đầu năm, cho thấy vẫn còn một số vấn đề nghiêm trọng trong việc thiết kế và triển khai Autodiscover.
Vấn đề liên quan đến cơ chế "back-off". Khi Autodiscover được sử dụng để cấu hình một máy khách, máy khách sẽ tạo một URL dựa trên địa chỉ email do người dùng cung cấp. Một URL có dạng https://Autodiscover.example.com/Autodiscover/Autodiscover.xml hoặc https://example.com/Autodiscover/Autodiscover.xml.
Tuy nhiên, nếu không có URL nào phản hồi, cơ chế back-off sẽ khởi động và cố gắng liên hệ với một URL có định dạng: http://Autodiscover.com/Autodiscover/Autodiscover.xml
Guardicore cho biết: "Điều này có nghĩa là bất kỳ ai sở hữu tên miền Autodiscover.com sẽ nhận được tất cả các yêu cầu URL không được phản hồi."
Guardicore đã đăng ký rất nhiều tên miền Autodiscover (ví dụ: Autodiscover.com.cn, Autodiscover.es, Autodiscover.in, Autodiscover.uk) và gán chúng cho một máy chủ web dưới sự kiểm soát của công ty.
Theo thống kê, từ ngày 16 tháng 4 năm 2021 đến ngày 25 tháng 8 năm 2021, máy chủ web này đã thu nhập được hơn 370.000 thông tin đăng nhập miền Windows, và hơn 96.000 thông tin đăng nhập từ các ứng dụng như Outlook và ứng dụng email di động.
Guardicore nói: "Đây là một vấn đề nghiêm trọng, vì nếu kẻ tấn công có thể kiểm soát các miền hoặc có khả năng đánh cắp lưu lượng truy cập trong cùng một mạng, chúng có thể thu thập thông tin đăng nhập miền ở dạng văn bản thuần túy (xác thực HTTP cơ bản) đang được chuyển qua mạng. Hơn nữa, kẻ tấn công có thể lấy mật khẩu qua một chiến dịch đầu độc DNS quy mô lớn qua khai thác lỗ hổng của các Autodiscover TLD".
Ngoài ra, kịch bản tấn công hạ cấp cơ chế xác thực của máy khách có thể xảy ra, cho phép kẻ tấn công đọc thông tin xác thực ở dạng bản rõ. Mặc dù, máy khách sẽ sử dụng các cơ chế xác thực an toàn như NTLM hoặc OAuth mặc định, tuy nhiên, bằng việc hạ cấp chuyển sang giao thức xác thực HTTP cơ bản, kẻ tấn công có thể lấy được thông tin dễ dàng.
Guardicore nói rằng việc rò rỉ dữ liệu xảy ra do các nhà phát triển ứng dụng triển khai không đúng cách giao thức Autodiscover, vì vậy, để ngăn ngừa điều này, nhà phát triển cần kiểm soát chặt sẽ hơn các URL để không bị kẻ tấn công lạm dụng.
Theo: securityweek
Chỉnh sửa lần cuối bởi người điều hành: