Microsoft Exchange vaza informações de 100 mil usuários devido a falha

A Microsoft está correndo para registrar dominios da internet que possa ser usados para roubar credenciais do Windows a partir de uma falha do protocolo Microsoft Exchange Autodiscover.

• Microsoft 365 agora vem com relatórios de dados anonimizados desde o início
• Microsoft alerta sobre gangue que oferece phishing por encomenda
• Microsoft Exchange foi usado para espionar hotéis e governos

Na semana passada, uma pesquisa realizado por Amit Serper, especialista de segurança da Guardicore, foi disponibilizada, mostrando que essas implementações falhas acabaram expondo mais de 100 mil credenciais únicas de e-mails e usuários do Windows.

O protocolo de Autodiscover (Autodiscover, em tradução livre) é usado para minimizar a necessidade de usuários configurarem os servidores de e-mail em gerenciadores como o Outlook, dando acesso rápido a ferramentas do Microsoft Exchange a partir de uma autenticação de credenciais.

Esse processo é feito a partir de um contato dos gerenciados de e-mail com os servidores do Microsoft Exchange, pedindo a autenticação de URLs de autodescoberta. Quando o processo é bem sucedido, além da autenticação, o gerenciador também recebe as configurações padrões para envio e recebimento de mensagens.

Porém, uma falha nesse processo faz com que muitos desses clientes, incluindo o Outlook e o Office 365, acabem tentando autenticar URLs de autdodescoberta não oficiais do Exchange, assim disponibilizando as credenciais para esses sites.

A maioria dos sites não oficiais tem endereços no padrão "autodiscover.(TLD)", onde "TLD" corresponde ao Domínio de Nível Superior do Endereço, que pode ser ".com", ."org", assim como vários outros. Entre os exemplos citados no relatório da Guardicore,estão URLs como autodiscover.com, autodiscover.uk e autodiscover.de.

Com isso, criminosos podem registrar endereços esses “autodiscover.(TLD)” e, a partir dessa falha, coletar dados. É importante frisar que essa vulnerabilidade não é inédita, com uma pesquisa completa sobre seu funcionamento tendo sida divulgada em 2017. Desde então, muitos pesquisadores tentaram entrar em contato com a Microsoft, porém a resposta da empresa era que se tratava somente de um bug.

Porém, depois que o relatório da Guardicore foi divulgado na semana passada, a Microsoft está correndo para tentar resolver o problema.

A solução da Microsoft

A Microsoft enviou um pronunciamento para o site BleepingComputer, em que o diretor senior da empresa, Jeff Jones, afirma que a investigação da falha já está ocorrendo e que a companhia irá tomar as medidas necessárias para proteger seus clientes. Jones finaliza dizendo que a Microsoft não tinha noção da falha até a divulgação do relatório da Guardicore.

A forma inicial que a Microsoft está tentando mitigar o problema é registrando em seu nome os vários endereços com “autodiscover”, para prevenir que criminosos possam usá-los para coletar dados a partir da falha. Até o dia 24 de setembro, a empresa já havia registrado mais de 69 endereços, com o número podendo aumentar se variantes, como "autodiscover.com.es" e "autodiscover.org.es", forem contabilizadas.

Porém, só registrar domínios não é o suficiente para corrigir a falha. A Microsoft, com o Outlook e o Office 365, e outras empresas desenvolvedoras de clientes de e-mail, precisam arrumar a implementação e autenticação de URLs de autodescoberta, já que enquanto estiver disponível, as tentativas de conexões com endereços não oficiais irão continuar ocorrendo.

Enquanto a falha não é resolvida, empresas de segurança recomendam que as companhias introduzam novas regras de firewall em suas redes, para bloquear qualquer pedido de acesso para endereços com autodiscover.(TLD). O site da Guardicore tem uma lista de endereços que podem ser adicionados ao firewall do computador para bloquear o acesso aos endereços não oficiais de autenticação. O arquivo, com as URLs, pode ser adquirido aqui.

As firmas de segurança também recomendam que administradores de rede certifiquem-se que as conexões estão com autenticação de HTTP básica desabilitada, para que credenciais em texto simples não sejam enviadas pela rede.

Fonte: Guardicore, Bleeping Computer, CSO Online