بر اثر آسیبپذیری سرویس Autodiscover در Exchange، نام کاربری و رمز عبور افشا میشود.
آسیبپذیری در سرویس Autodiscover گذرواژهها را افشا میکند
مرکز مدیریت راهبردی افتا , 19 مهر 1400 ساعت 11:00
بر اثر آسیبپذیری سرویس Autodiscover در Exchange، نام کاربری و رمز عبور افشا میشود.
بر اثر آسیبپذیری سرویس Autodiscover در Exchange، نام کاربری و رمز عبور افشا میشود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سرویس Autodiscover اولین بار توسط exchange ۲۰۰۷ و outlook ۲۰۰۷ برای پیکربندی سریع پروفایلهای outlook بر پایه username و password معرفی شد.
در این مکانیزم Outlook به exchange server متصل شده و کاربر آدرس ایمیل و کلمه عبور خود را وارد میکند و Exchange server یک فایل XML را برای Outlook برمیگرداند تا پروفایل کاربر ساخته یا تغییرات در آن اعمال شوند. بااینکه تغییرات زیادی جهت بهبود عملکرد exchange و outlook ۲۰۱۹ نسبت به نسخه ۲۰۰۷ اعمالشده است، اما همچنان از همین مکانیزم استفاده میکند.
Outlook بهمنظور یافتن سرور Exchange و اتصال به آن راههای ذکر شده در زیر را به ترتیب بررسی میکند:
۱- SCP در اکتیو دایرکتوری
۲- Root Domain check
۳- Autodiscover DNS check
۴- استفاده از فایل محلی Autodiscover.xml
۵- Http redirect
۶-چک کردن رکوردهای SRV DNS
۷- اتصال مستقیم به Office۳۶۵.
همانطور که در بالا اشاره شد outlook از مکانیزم Autodiscover برای اتصال به سرور exchange استفاده میکند. بسیاری از نرمافزارهای دیگر که نیاز به سرور exchange دارند و همچنین برنامههای موبایلی نیز از همین مکانیزم استفاده میکنند.
در این میان یک آسیبپذیری در سرویس Autodiscover وجود دارد که ممکن است باعث دزدیده شدن اطلاعات احراز هویت شود. مایکروسافت از سال ۲۰۱۷ درگیر برطرف کردن این آسیبپذیری هست.
با توجه به مطالب بالا در خصوص مراحل اتصال به سرور Exchange مراحل زیر برای سرویس Autodiscover چک میشود:
۱- چک کردن رکوردهای SCP در اکتیو دایرکتوری
۲- چک کردن آدرس «example.com/Autodiscover/Autodiscover.xml»
۳- چک کردن آدرس «Autodiscover.example.com/Autodiscover/Autodiscover.xml»
۴- انتقال به سرویس Autodiscover در مسیر دیگری
۵- استفاده از رکوردهای SRV DNS برای پیدا کردن Autodiscover معتبر.
۶- انتقال به سرور office۳۶۵ (Autodiscover.outlook.com)
زمانی که تمامی مراحل فوق به نتیجه نرسند فرایند Autodiscover متوقفشده و کاربر متصل نمیشود. در سال ۲۰۱۷ طبق آسیبپذیریهای «cve-۲۰۱۶-۹۹۴۰» و «cve-۲۰۱۷-۲۴۱۴» مشخص شد Autodiscover باعث نشت اطلاعات از روی برنامههای موبایلی اتصال و مدیریت ایمیل میشوند. گسترش این آسیبپذیری از سال ۲۰۱۷ تاکنون میتواند علاوه بر برنامههای موبایلی باعث نشت اطلاعات احراز هویت برنامههای دیگر اتصال به سرورهای Exchange شود.
بررسی آسیبپذیری:
زمانی که برنامهها میخواهند از مکانیزم Autodiscover برای دریافت فایل xml استفاده کنند ابتدا نمونه مسیرهای زیر بررسی میشوند:
https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
http://Autodiscover.example.com/Autodiscover/Autodiscover.xm
https://example.com/Autodiscover/Autodiscover.xml
http://example.com/Autodiscover/Autodiscover.xml
اگر موارد فوق ناموفق بود سرویس Autodiscover از الگوریتم «back-off» استفاده میکند. درواقع این الگوریتم هست که باعث نشت اطلاعات میشود؛ زیرا تلاش میکند بخش Autodiscover دامنه را resolve کند و این باعث میشود مثلاً url های فوق بهصورت زیر تغییر یابند:
Autodiscover.com/Autodiscover/Autodiscover.xml
این بدان معنی است که به دامنهای مانند Autodiscover.com نیز تمامی درخواستها ارسال میشود و میتوان احراز هویتها را در این دامنه دزدید.
شرکت guardicore برای تست این آسیبپذیری دامنههای زیر را به ثبت رسانیده و به بررسی آسیبپذیری پرداخته است.
به گزارش این شرکت پس از انجام تنظیمات بر روی سرورهای تحت کنترل این شرکت با درخواستهای بسیار زیاد Autodiscover به سرورهای خود مواجهشده که این درخواستها از دامنهها و IP ها و کاربران مختلفی بودهاند. مهمترین بخش این درخواستها درخواست فایل Autodiscover.xml با هدر احراز هویت از نوع HTTP basic authentication بوده است.
در لاگ درخواستها hostname و دامنهها نیز علاوه بر نام کاربری و کلمه عبور مشاهده میشوند.
این شرکت با بررسی user-agent درخواستهای دریافت شده توسط سرورها عنوان میدارد که علاوه بر برنامههای مایکروسافت، برنامههای موبایلی و ... که برای فعالیت خود به سرویس Autodiscover متصل میشوند اطلاعات را نشت میدهند.
البته این وبسایت عنوان میدارد که user-agent های دریافتی از موبایلهای سامسونگ متعلق به نسخههای بسیار قدیمی سیستمعامل اندروید هست و به آن معنی است که شرکت سامسونگ مدتها پیش نرمافزارهای مربوطه خود را اصلاحکرده است تا از این آسیبپذیری رهایی یابد.
جهت پیشگیری از این آسیبپذیری باید موارد زیر انجام شود:
۱- پلتفرمها و برنامههایی که بر پایه Exchange هستند (مانند outlook، ActiveSync و..) اصلاح شوند.
۲- مطمئن شویم دامنههای حاوی کلمه Autodiscover در سیستمها و یا شبکهها (مانند دامنههای Autodiscover.com، Autodiscover.cn و...) توسط دیوار آتش بسته شوند.
۳- در زمان نصب Exchange اطمینان حاصل شود که basic authentication سرویس Exchange غیرفعال است.
۴- برنامهنویسان نرمافزارهای دیگر باید اطمینان حاصل کنند هیچگاه فرایند برنامه وارد الگوریتم «back-off» نمیشود.
کد مطلب: 18364