Samkvæmt frétt frá Guardicore [1] þá er til staðar veikleiki í samskiptastaðlinum autodiscover frá Microsoft sem getur leitt af sér að auðkenni notenda leki til óviðkomandi aðila.
Samskiptastaðallinn autodiscover
autodiscover er samskiptastaðall frá Microsoft [2] sem sem gerir póstforritum kleift að nálgast upplýsingar um póststillingar frá t.d. Microsoft Exchange þjónum. Samskiptin fara fram með auðkenndum hætti (t.d. með NTLM eða OAUTH) en til vara er mögulegt að nýta innskráningu með HTTP Basic Authentication sem er talin vera óörugg aðferð í dag. Póstforrit eða annað forrit sem notar autodiscover samskiptastaðalinn hefur nokkrar leiðir til að finna hvaða vefslóð það á að tala við. Samkvæmt skjölun frá Microsoft [2] leitar póstforritið eftir viðeigandi slóð með fyrirspurn í dns þangað til það nær sambandi við netþjón eða leitin ber ekki árangur. Samkvæmt grein Guardicore [1] þá getur sú leit endað í slóðinni http://autodiscover.TLD/Autodiscover/Autodiscover.xml og að póstforritið sendi strax innskráningarbeiðni með notkun HTTP Basic Authentication. Samkvæmt leiðbeiningum Microsoft er mælt með að nota alltaf dulkóðuð samskipti og að senda ekki auðkenningarbeiðni án frekari staðfestingar.
Árið 2017 birti fyrirtækið Shape Security grein [3] um veikleika í póstforritum notuðum á farsímum með Android og iOS sem gátu leitt til leka á auðkennum. Veikleikinn stafaði af því hvernig autodiscover var innleitt í viðkomandi forrit ásamt því að notandinn gerði mistök við að slá inn netfang. Veikleikinn fékk númerin CVE-2016-9940 (engin NVD tilvísun til) og CVE-2017-2414 [4] og CVSS base skor 5.3.
Leki auðkenninga
Guardicore lýsir síðan í greininni [1] að það skráði töluverðan fjölda (20 samkvæmt listanum á síðunni) af landslénum (e. TLD = Top Level Domains) og setti upp kerfi til að hlusta eftir beiðnum sem bærust. Á tímabilinu 16. apríl 2021 til 25. ágúst 2021 safnaði kerfi Guardicore samtals 372.072 auðkennum fyrir windows domain og 96.671einstökum (e. unique) auðkennum frá farsímum og öðrum forritum. Einnig þróaði Guardicore árásaraðferð til að fá auðkennanda til að senda auðkenni með HTTP Basic Authentication í stað öruggari aðferða eins og NTLM eða OAuth. Vísað er til þessarar aðferðar sem „The ol´ switcheroo„. Ef þessi niðurstaða er rétt að þá er um að ræða alvarlegan veikleika sem getur gert árásaraðilum kleift að safna auðkenni upplýsingum margra mismunandi aðila án þess að viðkomandi viti af því, hvort sem er með því að hlera samskipti eða setja upp TLD autodiscover lén og hlusta eftir beiðnum.
Samkvæmt frétt í The Record [5] þá var Microsoft ekki upplýst um veikleikann áður en grein Guardicore var birt. Í frétt á TechTarget [6] kemur fram gagnrýni á það hvernig var staðið að birtingu upplýsinganna og að hún sé ekki samkvæmt bestu venjum um slíka birtingu (e. vulnerability disclosure).
CERT-IS hefur ekki upplýsingar um að Microsoft hafi staðfest gallann og hvort hann geti leitt til misnotkunar eða hafi upplýst um uppfærslur sem myndu koma í veg fyrir misnotkun. Microsoft hefur samkvæmt nokkrum fréttum [7] [8] gefið út að HTTP Basic Authentication muni verða afvirkjað í skrefum fyrir þá sem nota skýjaþjónustur Microsoft (Microsoft Exchange Online, Office 365) og hefur þegar afvirkjað þessa stillingu fyrir nýja viðskiptavini og viðskiptavini sem höfðu ekki þörf fyrir það. Microsoft stefnir á að loka fyrir notkun HTTP Basic Authentication að fullu 1. okt. 2022 [9] en stefnt hefur verið á þessa aðgerð um nokkurt skeið en verið frestað.
Skráð landslén
Á síðunni autodiscover-vulnerable-tlds.com [10] er listi yfir autodiscover landslén (stundum kallað höfuðlén) með frekari upplýsingum, meðal annars áhættustig (e. risk score) tengt viðkomandi léni. Á þeim lista er lénið autodiscover.is sem fær einkunnina 4 af 5 mögulegum, en autodiscover.is var skráð um svipað leiti og frétt Guardicore var birt, CERT-IS hefur haft samband við skráningaraðilann og telur litla sem enga áhættu stafa af þeirri skráningu og er með í vinnslu að fá yfirráð yfir léninu.
Ráðleggingar CERT-IS
Fyrri veikleikar sem tengjast autodiscover fengu CVSS skor 5.3 sem er meðal áhætta. Útreikningur CERT-IS [11] á þessum veikleika miðað við lýsingar Guardicore gefur CVSS skor 7.5 sem er hátt skor. Að því sögðu þá er til staðar óvissa um veikleikann og framleiðandi hefur ekki gefið út staðfestingu á veikleikanum.
Fyrir þá sem nota skýjalausnir Microsoft er einfaldasta leiðin að virkja „Security Defaults“ [12] í Office 365 sem meðal annars afvirkjar HTTP Basic Authentication. Einnig eru til ítarlegri leiðbeiningar og skýringar hjá Microsoft [13] um afvirkjun HTTP Basic Authentication.
CERT-IS mælir með að notkun HTTP Basic Authentication sé afvirkjuð og að lágmarki sé miðað við niðurstöður áhættumats ef sú aðgerð er ekki framkvæmanleg. Þar sem um margar mismunandi útgáfur af póstkerfum (Exchange Online / On-Premise) og póstforritum (e. clients) getur verið að ræða er mælt með að hafa samband við viðkomandi framleiðanda og/eða þjónustuaðila til að aðstoða við mat á ógninni og við aðgerðir.
Bent er á að nota bestu venjur um breytingastjórnun við framkvæmd þar sem afvirkjun HTTP Basic Authentication getur haft ófyrirsjáanlegar afleiðingar í flóknum umhverfum.
Tilsvísanir:
[1] https://www.guardicore.com/labs/autodiscovering-the-great-leak/ [2] https://docs.microsoft.com/en-us/exchange/client-developer/exchange-web-services/autodiscover-for-exchange [3] https://www.blackhat.com/docs/asia-17/materials/asia-17-Nesterov-All-Your-Emails-Belong-To-Us-Exploiting-Vulnerable-Email-Clients-Via-Domain-Name-Collision-wp.pdf [4] https://nvd.nist.gov/vuln/detail/CVE-2017-2414 [5] https://therecord.media/microsoft-exchange-autodiscover-bug-leaks-hundreds-of-thousands-of-domain-credentials/ [6] https://www.techtarget.com/searchsecurity/news/252507119/Autodiscover-flaw-in-Microsoft-Exchange-leaking-credentials [7] https://techgenix.com/basic-authentication-in-microsoft-365-to-be-disabled/ [8] https://www.bleepingcomputer.com/news/microsoft/microsoft-will-disable-basic-auth-in-exchange-online-in-october-2022/ [9] https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-september-2021-update/ba-p/2772210 [10] https://autodiscover-vulnerable-tlds.com/ [11] https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C [12] https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/concept-fundamentals-security-defaults [13] https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/disable-basic-authentication-in-exch
