Исследователям удалось собрать сотни тысяч учётных данных доменов и приложений Windows благодаря уязвимости в имплементации протокола Autodiscover. Именно этот протокол используется в Microsoft Exchange.
Как объясняет сама Microsoft, Autodiscover обеспечивает лёгкий способ конфигурации клиентских приложений с минимальным участием пользователя. Например, Autodiscover помогает настроить клиент Outlook с помощью лишь имени пользователя и пароля.
Ещё в 2017 году специалисты по защите информации предупреждали о проблемах в имплементации Autodiscover, которые могут привести к утечке данных, но тогда все обозначенные уязвимости быстро пропатчили.
Теперь же эксперты компании Guardicore доказали, что у Autodiscover всё ещё есть дыры, причём даже более серьёзные, чем раньше. В частности, проблема затрагивает процедуру под названием «back-off»: когда Autodiscover используется для конфигурации имейл-клиента, последний пытается сформировать URL, основываясь на предоставленном пользователем адресе электронной почты. Примеры:
https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
https://example.com/Autodiscover/Autodiscover.xml
Если же эти URL не отвечают, включается механизм «back-off» в попытке получить доступ к ссылке следующего формата:
http://Autodiscover.com/Autodiscover/Autodiscover.xml
«Это значит, что владелец Autodiscover.com будет получать все запросы, которые не смогли достичь оригинального домена», — пишет команда Guardicore.
Специалисты зарегистрировали около десятка похожих доменов: Autodiscover.com.cn, Autodiscover.es, Autodiscover.in, Autodiscover.uk, а потом назначили их собственному веб-серверу. В период между 16 апреля и 25 августа 2021 года этот сервер получил более 370 тысяч учётных данных Windows-доменов.
Также в руки исследователей попали более 96 тыс. уникальных имён логинов и паролей из приложений вроде Outlook и мобильных имейл-клиентов. Напомним, что в том месяце число атак на Microsoft Exchange Server выросло на 170%.
