Microsoft Exchange: bug nel protocollo AutoDiscover espone nomi utente e password

Un gruppo di ricercatori ha scoperto una vulnerabilità in Microsoft Exchange Server che può essere addirittura sfruttata per raccogliere credenziali di accesso per i sistemi altrui e gli account di posta.

Il problema risiede nel protocollo AutoDiscover di Exchange, una funzionalità implementata da Microsoft nel suo software che permette ai client di posta elettronica di cercare automaticamente i server email, fornire le credenziali e ricevere le configurazioni appropriate.
È uno strumento molto utile per assicurarsi che i client ricevano sempre le impostazioni corrette per l’utilizzo di servizi basati su SMTP, IMAP, LDAP, WebDAV e così via.

Per ottenere le configurazioni i client di posta elettronica tipicamente provano a connettersi in sequenza a una serie di URL derivati dal dominio dell’indirizzo email dell’utente (esempio: https://autodiscover.example.com/autodiscover/autodiscover.xml, http://autodiscover.example.com/autodiscover/autodiscover.xml, https://example.com/autodiscover/autodiscover.xml, https://example.com/autodiscover/autodiscover.xml, http://example.com/autodiscover/autodiscover.xml).

Amit Serper (Guardicore) ha scoperto che il meccanismo di “autodiscovery” di Exchange utilizza una procedura di fallback che è assolutamente imperfetta: nel caso in cui non venisse ottenuta risposta dagli esempi di URL indicati, essa prova a contattare domini di secondo livello del tipo autodiscovery.com o autodiscovery.it.

Negli ultimi mesi Serper ha registrato diversi domini di secondo livello facenti capo a diversi TLD geografici e non (gTLD e ccTLD): migliaia di client si sono erroneamente collegati con tali domini fornendo credenziali di autenticazione valide che avrebbero invece dovuto rimanere riservate.

Così, come spiega Guardicore, i ricercatori sono stati in grado di ricevere e annotare decine di migliaia di credenziali, rilasciate ad esempio da Microsoft Outlook e provenienti dalle aziende più diverse. I dati acquisiti si riferiscono a istituti di credito e organizzazioni che si occupano di finanza, società produttrici o distributrici di elettricità, imprese attive nelle spedizioni e nella logistica, moda e gioielli, produttori di alimenti, realtà nel settore dei beni immobili, società quotate in borsa nel mercato cinese.

Tutte le credenziali raccolte sono arrivate tramite connessioni HTTP non criptate ma nell’analisi pubblicata da Serper si fa presente il protocollo AutoDiscover di Exchange permetterebbe, così come attualmente implementato, di “spifferare” anche credenziali NTLM e OAuth.

Ovviamente i dati raccolti da Guardicore sono oggetto di rimozione e non verranno in alcun modo utilizzati. Potete immaginare, però, cosa sarebbe successo se la stessa operazione fosse stata compiuta non da un gruppo di ricercatori ma da criminali informatici?

Serper ha fornito alcuni consigli per attenuare il problema (le aziende dovrebbero bloccare tutti i TLD autodiscover.* a livello di DNS o di firewall) ma la sua definitiva risoluzione è in capo a Microsoft che dovrà necessariamente sviluppare e distribuire un aggiornamento correttivo.
Guardicore ha anche pubblicato su GitHub la lista dei domini autodiscover.* che dovrebbero essere bloccati.