 |
|
|
Como parte de los esfuerzos de investigación de seguridad en curso, Guardicore Labs ha descubierto un caso alarmante de fuga de credenciales en Autodiscover de Microsoft que afecta a una gran cantidad de personas en todo el mundo.
El protocolo de Autodiscover de Microsoft está destinado a facilitar la configuración de clientes de Exchange como Microsoft Outlook. El objetivo del protocolo es hacer que un usuario final pueda configurar completamente su cliente de Outlook únicamente proporcionando su nombre de usuario y contraseña y dejar el resto de la configuración al protocolo de Autodiscover de Microsoft Exchange.
Las filtraciones descubiertas por Guardicore radican en las credenciales de dominio de Windows válidas que se utilizan para autenticarse en los servidores de Microsoft Exchange. Asimismo, la fuente de estas fugas se compone de dos problemas:
1. El diseño del protocolo de Autodiscover de Microsoft (y el algoritmo de "retroceso" en específico).
2. La mala implementación de este protocolo en algunas aplicaciones.
De acuerdo a Amit Serper, vicepresidente senior de investigación de seguridad, América del Norte de Guardicore, es importante comprender que, dado que Microsoft Exchange forma parte del “conjunto de soluciones de dominio de Microsoft”, las credenciales necesarias para iniciar sesión en la bandeja de entrada de Exchange son, en la mayoría de los casos, sus credenciales de dominio.
“Las implicaciones de una fuga de credenciales de dominio a tal escala son enormes y pueden poner en peligro a las organizaciones. Especialmente en el mundo actual devastado por los ataques de ransomware, la forma más fácil para que un atacante ingrese a una organización es utilizar credenciales legítimas y válidas”, comentó Serper.
Mitigación
Para mitigar este problema, se requieren dos enfoques separados; un enfoque debe ser implementado por el público en general que usa tecnologías basadas en intercambio como Outlook o ActiveSync (protocolo de sincronización de intercambio móvil de Microsoft) y el otro enfoque debe ser implementado por desarrolladores/proveedores de software que están implementando el protocolo de detección automática en sus productos:
Para desarrolladores y proveedores de software:
● Asegúrese de que cuando implemente el protocolo de Autodicover en su producto, no permita que “falle hacia arriba”, lo que significa que dominios como “Autodiscover. ” nunca deben ser construidos por el algoritmo de “retroceso”.
Para el público en general:
● Asegúrese de estar bloqueando activamente los dominios de detección automática. (como autodiscover.com/autodiscover.com.cn, etc.) en su firewall.
● Al implementar configuraciones de intercambio, asegúrese de que la compatibilidad con la autenticación básica esté deshabilitada; usar la autenticación básica HTTP es lo mismo que enviar una contraseña en texto sin cifrar por cable.
● Puede encontrar una lista textual completa de todos los dominios de nivel superior en la siguiente URL: https://data.iana.org/TLD/tlds-alpha-by-domain.txt
Más información en https://www.guardicore.com/labs/autodiscovering-the-great-leak/
|
