Amit Serper, de Guardicore Labs, ha reportado la existencia de un error de seguridad en la función Autodiscover, de Microsoft Exchange, que ha ocasionado la fuga de 100 mil cuentas y contraseñas de inicio de sesión para correo electrónico y dominios de Windows en todo el mundo.
Autodiscover es utilizado para la detección automática de Microsoft Exchange, siendo útil para la configuración automática de clientes como Microsoft Outlook, que en su proceso de autenticación envía las credenciales a varias URL de detección automática de Exchange.
De acuerdo con el experto en seguridad Amit Serper, de Guardicore, la implementación incorrecta de Autodiscover está enviando la credenciales de Windows a sitios web de terceros que no son de confianza.
En sus pruebas, Serper registró una serie de dominios de nivel superior, denominados “autodiscover” (por ejemplo autodiscover.com.br, autodiscover.com.cn, autodiscover.com.co, autodiscover.es, autodiscover.online), encontrando que los servidores afectados por el error recibieron credenciales de correo electrónico de usuarios que estaban configurando su programa gestor de correo electrónico, como Outlook. Se recopilaron 96,671 credenciales únicas de correo electrónico en texto sin cifrar, de diferentes tipo de organizaciones, entre otras, empresas que cotizan en bolsa, fabricantes, bancos, compañías eléctricas y más.
Así como con las pruebas, un ciberdelincuente podría registrar dominios denominados “autodiscover” para intentar explotar la vulnerabilidad e interceptar las credenciales de correo electrónico, en texto sin cifrar, las que podrían ser útiles para ataques a la organización.
Microsoft ha reconocido el error y se encuentra trabajando en su solución para evitar la explotación de la vunerabilidad. Por lo pronto está registrando los dominios de Internet que podrian ser utilizados para explotar el error reportado por Serper.
Además de recomendar medidas de mitigación, en su reporte Autodiscovering the Great Leak, Serper puntualiza que si un atacante controla dominios de detección automática de nivel superior (o si el atacante tiene la capacidad de realizar un ataque de envenenamiento DNS usando estos dominios), puede consumir fácilmente credenciales de dominio válidas de estas solicitudes de detección automática con fugas.
Las contraseñas se pueden filtrar fuera del perímetro de la organización mediante un protocolo que estaba destinado a agilizar las operaciones del departamento de TI con respecto a la configuración del cliente de correo electrónico sin que nadie del departamento de TI o de seguridad lo supiera, lo que enfatiza la importancia de una adecuada segmentación y cero confianza.