Cacat desain dalam fitur integral dari Microsoft Exchange (terbuka di tab baru) server email dapat disalahgunakan untuk memanen domain Windows dan kredensial aplikasi, menurut keamanan cyber (terbuka di tab baru) peneliti..
Berbagi detail tentang bug di postingan blog, Guardicore (terbuka di tab baru) peneliti mencatat bahwa masalah tersebut ada di protokol Microsoft Autodiscover, yang membantu klien email menemukan Exchange surel (terbuka di tab baru) server untuk menerima konfigurasi yang tepat.
“[Autodiscover] memiliki cacat desain yang menyebabkan protokol “membocorkan” permintaan web ke domain Autodiscover di luar domain pengguna tetapi di TLD yang sama (yaitu Autodiscover.com),” saham (terbuka di tab baru) Amit Serper, AVP Riset Keamanan di Guardicore, menambahkan bahwa langkah tersebut dapat membantu penyerang mengekstrak kredensial dari permintaan Autodiscover yang bocor.
Untuk menguji perilaku ini, Guardicore Labs memperoleh beberapa domain Autodiscover dengan akhiran TLD dan menyiapkannya untuk menjangkau web server (terbuka di tab baru) di bawah kendali mereka, dan hasilnya mengejutkan.
Masalah keamanan yang parah
Dalam waktu empat bulan lebih sedikit, Guardicore berhasil menangkap 96.671 kredensial unik yang bocor dari berbagai aplikasi termasuk Microsoft Outlook (terbuka di tab baru)seluler klien email (terbuka di tab baru) dan aplikasi lain, saat mereka mencoba untuk berinteraksi dengan server Microsoft Exchange.
Serper menyebut perilaku ini sebagai “masalah keamanan yang parah” karena dapat memungkinkan penyerang dengan kemampuan peracunan DNS berskala besar, seperti aktor yang disponsori negara, untuk menyedot kata sandi dengan meluncurkan kampanye peracunan DNS berskala besar berdasarkan Autodiscover TLD.
Selain itu, meskipun semua kredensial yang dikumpulkan berasal dari koneksi autentikasi dasar HTTP yang tidak terenkripsi, Serper membagikan detail serangan, yang bahkan dapat membantu mereka menangkap dari bentuk autentikasi yang lebih aman seperti OAuth.
Dalam pernyataan email ke RekamanMicrosoft mengakui bahwa mereka sedang menyelidiki temuan Guardicore, namun menambahkan bahwa perusahaan keamanan tersebut tidak melaporkannya ke Microsoft sebelum membagikan detailnya kepada publik.
Melalui Rekaman (terbuka di tab baru)
