Microsoft Exchange: bug nel servizio Autodiscover (update)

Microsoft Exchange: bug nel servizio Autodiscover (update)

Una vulnerabilità nel servizio Autodiscover di Microsoft Exchange permette di ricevere indirizzi email e password da Outlook e altri client.
Microsoft Exchange: bug nel servizio Autodiscover (update)
Una vulnerabilità nel servizio Autodiscover di Microsoft Exchange permette di ricevere indirizzi email e password da Outlook e altri client.

Guardicore ha scoperto una grave vulnerabilità nel servizio Autodiscover (individuazione automatica) di Microsoft Exchange che potrebbe essere sfruttata per raccogliere migliaia di credenziali di login. L’azienda di Redmond ha comunicato l’avvio delle indagini sul problema, specificando tuttavia di non aver ricevuto la segnalazione prima della divulgazione pubblica.

Exchange invia indirizzi email e password a server sconosciuti

Autodiscover è il nome della funzionalità che semplifica la configurazione dei client di posta elettronica, come Outlook. Quando l’utente inserisce nome, indirizzo email e password durante la procedura di setup, il client tenta di completare la configurazione, cercando l’indirizzo IP dei server e altre impostazioni. Ciò viene effettuato utilizzando URL derivate dal dominio dell’indirizzo email.

Ad esempio, se l’indirizzo email è nome@example.com, il client proverà ad effettuare la connessione ai seguenti indirizzi:

  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://example.com/Autodiscover/Autodiscover.xml
  • http://example.com/Autodiscover/Autodiscover.xml

Se il server non risponde, il client utilizzerà il dominio Autodiscover (ad esempio http://Autodiscover.com/Autodiscover/Autodiscover.xml). Guardicore ha acquistato 11 domini, tra cui Autodiscover.it, assegnandoli ad un web server. La software house ha così scoperto che il bug consente di ricevere migliaia di credenziali. Tra aprile e agosto 2021 sono state raccolte quasi 97.000 credenziali inviate da Outlook e altri client che usano Microsoft Exchange.

Guardicore ha fornito alcune soluzioni provvisorie, come il blocco dei domini Autodiscover nel firewall. Come detto, Microsoft ha iniziato ad esaminare il problema di sicurezza e quasi certamente rilascerà una patch risolutiva nei prossimi giorni.

Aggiornamento (25/09/2021): in attesa della patch, Microsoft ha iniziato a registrare i domini Autodiscover per evitare che le credenziali di login finiscano nelle mani sbagliate.

Fonte: Guardicore
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
23 set 2021
Link copiato negli appunti