Une faille dans Microsoft Autodiscover permet le vol d’identifiants



Une faille dans Microsoft Autodiscover permet le vol d’identifiants

Des chercheurs ont pu exploiter à grande échelle une caractéristique de conception du protocole.


Un « défaut de conception » dans le protocole Autodiscover de Microsoft a fait l’objet d’une enquête par des chercheurs qui ont découvert qu’ils étaient en mesure d’exploiter ce comportement pour récolter des identifiants de domaine.

Mercredi, Amit Serper, AVP of Security Research de Guardicore Labs, a publié les résultats d’une analyse d’Autodiscover, un protocole utilisé pour s’authentifier auprès des serveurs Microsoft Exchange et pour configurer l’accès des clients.

Il existe différentes itérations du protocole disponibles pour les utilisateurs. Guardicore a exploré une implémentation d’Autodiscover basée sur POX XML et a trouvé un « défaut de conception » qui peut être exploité pour « voler » des requêtes web vers des domaines Autodiscover en dehors du domaine de l’utilisateur, tant qu’ils sont dans le même domaine de premier niveau (TLD).

Une approche faillible

Pour tester le protocole, l’équipe a d’abord enregistré et acheté un certain nombre de domaines avec un suffixe TLD, dont Autodiscover.com.br, Autodiscover.com.cn, Autodiscover.com.fr, et Autodiscover.com.uk, etc.

Ces domaines ont ensuite été assignés à un serveur web Guardicore, et les chercheurs affirment qu’ils « attendaient simplement l’arrivée de requêtes web pour divers terminaux Autodiscover ».

La faille réside dans la façon dont Autodiscover traite les requêtes envoyées par les utilisateurs de clients de messagerie qui tentent de se connecter à un serveur Exchange. Lorsque la requête envoyée par le client ne produit pas de réponse, le protocole tente alors d’envoyer la requête vers le nom de domaine Autodiscover.com, qui peut être détenu par des tiers.

« Ce qui signifie que le résultat de la prochaine tentative de construction d’une URL Autodiscover sera : http://Autodiscover.com/Autodiscover/Autodiscover.xml », expliquent les chercheurs. « Cela signifie que le propriétaire d’Autodiscover.com recevra toutes les demandes qui ne peuvent pas atteindre le domaine d’origine. A notre grande surprise, nous avons commencé à voir des quantités importantes de requêtes vers les points de terminaison Autodiscover provenant de divers domaines, adresses IP et clients. »

Au total, Guardicore a pu capturer 372 072 identifiants de domaine Windows, et 96 671 identifiants uniques provenant de sources comme Microsoft Outlook et des clients de messagerie, entre le 16 avril et le 25 août 2021. Certains ont été envoyés via l’authentification de base HTTP.


Peu de vérifications coté client

« Le problème intéressant d’une grande partie des demandes que nous avons reçues est qu’il n’y a eu aucune tentative du côté du client de vérifier si la ressource est disponible ou même existe sur le serveur avant d’envoyer une requête d’authentification », raconte l’équipe.

Guardicore a également pu créer une méthode d’attaque basée sur un attaquant contrôlant les domaines TLD pertinents qui rétrogradaient les identifiants qui leur étaient envoyés dans des systèmes d’authentification alternatifs – comme NTLM et OAuth – en authentification HTTP de base. Amit Serper précise à ZDNet que « la faille du protocole n’est pas nouvelle ; nous avons simplement été en mesure de l’exploiter à grande échelle ».

Des recherches antérieures menées par Shape Security et publiées en 2017 explorent Autodiscover et son potentiel d’abus. Cependant, le document se concentre sur les implémentations d’Autodiscover dans les clients de messagerie mobile.

Guardicore dit avoir « lancé des processus de divulgation responsable avec certains des fournisseurs concernés » par la dernière découverte. Afin d’atténuer le problème, Guardicore indique que les domaines TLD Autodiscover doivent être bloqués par des pare-feu et que, lors de la configuration d’Exchange, la prise en charge de l’authentification de base doit être désactivée, car cela revient à « envoyer un mot de passe en clair sur le réseau ».

« Nous enquêtons activement et prendrons les mesures appropriées pour protéger les clients », affirme Jeff Jones, Senior Director chez Microsoft, dans un communiqué.

« Nous sommes engagés dans la divulgation coordonnée des vulnérabilités, une approche collaborative et standard de l’industrie qui réduit les risques inutiles pour les clients avant que les problèmes ne soient rendus publics. Malheureusement, ce problème ne nous a pas été signalé avant que l’équipe de marketing du chercheur ne le présente aux médias, si bien que nous l’avons appris aujourd’hui. »

Pour plus d’information : https://www.zdnet.fr/actualites/une-faille-dans-microsoft-autodiscover-permet-le-vol-d-identifiants-39929755.htm



Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Catégories :

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité