Como parte de los esfuerzos de investigación de seguridad en curso, el equipo de Guardicore Labs descubrió un caso alarmante de fuga de credenciales en Autodiscover de Microsoft, que afecta a una gran cantidad de personas en todo el mundo.
El protocolo de Autodiscover de Microsoft está destinado a facilitar la configuración de clientes de Exchange como Microsoft Outlook. El objetivo del protocolo es hacer que un usuario final pueda configurar completamente su cliente de Outlook únicamente proporcionando su nombre de usuario y contraseña y dejar el resto de la configuración al protocolo de Autodiscover de Microsoft Exchange.
Las filtraciones descubiertas por Guardicore radican en las credenciales de dominio de Windows válidas que se utilizan para autenticarse en los servidores de Microsoft Exchange.
Asimismo, se informó que la fuente de estas fugas se compone de dos problemas: el diseño del protocolo de Autodiscover de Microsoft (y el algoritmo de “retroceso” en específico); y la mala implementación de este protocolo en algunas aplicaciones.
De acuerdo con Amit Serper, vicepresidente senior de investigación de seguridad, América del Norte de Guardicore, es importante comprender que, dado que Microsoft Exchange forma parte del “conjunto de soluciones de dominio de Microsoft”, las credenciales necesarias para iniciar sesión en la bandeja de entrada de Exchange son, en la mayoría de los casos, sus credenciales de dominio.
“Las implicaciones de una fuga de credenciales de dominio a tal escala son enormes y pueden poner en peligro a las organizaciones. Especialmente en el mundo actual devastado por los ataques de ransomware, la forma más fácil para que un atacante ingrese a una organización es utilizar credenciales legítimas y válidas”, comentó Serper.
Mitigación
Para mitigar este problema, se requieren dos enfoques separados; un enfoque debe ser implementado por el público en general que usa tecnologías basadas en intercambio como Outlook o ActiveSync (protocolo de sincronización de intercambio móvil de Microsoft) y el otro enfoque debe ser implementado por desarrolladores / proveedores de software que están implementando el protocolo de detección automática en sus productos:
Para desarrolladores y proveedores de software:
- Asegúrese de que cuando implemente el protocolo de Autodicover en su producto, no permita que “falle hacia arriba”, lo que significa que dominios como “Autodiscover. <tld>” nunca deben ser construidos por el algoritmo de “retroceso”.
Para el público en general:
- Asegúrese de estar bloqueando activamente los dominios de detección automática. <tld> (como autodiscover.com/autodiscover.com.cn, etc.) en su firewall.
- Al implementar configuraciones de intercambio, asegúrese de que la compatibilidad con la autenticación básica esté deshabilitada; usar la autenticación básica HTTP es lo mismo que enviar una contraseña en texto sin cifrar por cable.
- Puede encontrar una lista textual completa de todos los dominios de nivel superior en la siguiente URL: https://data.iana.org/TLD/tlds-alpha-by-domain.txt
En esta investigación se analizaron las implicaciones de la falla de diseño básica dentro del protocolo Autodiscover (el algoritmo de “retroceso”) y se demostró que si un atacante controla los dominios de detección automática de nivel superior (o si el atacante tiene la capacidad de realizar un ataque de envenenamiento DNS utilizando estos dominios), puede consumir muy fácilmente credenciales de dominio válidas de estas solicitudes de Autodiscover con fugas.
De acuerdo con Guardicore, menudo, los atacantes intentarán que los usuarios les envíen sus credenciales aplicando diversas tácticas, ya sean técnicas o de ingeniería social. Sin embargo, este incidente mostró que las contraseñas se pueden filtrar fuera del perímetro de la organización mediante un protocolo que estaba destinado a agilizar las operaciones del departamento de TI con respecto a la configuración del cliente de correo electrónico sin que nadie del departamento de TI o de Seguridad lo sepa, lo que enfatiza la importancia de la segmentación adecuada y la confianza cero aún más, señaló la compañía.