Exchange : une faille de l’auto-découverte laisse fuiter des identifiants

Les chercheurs de Guardicore ont ensuite testé la faille.

« Guardicore Labs a acquis plusieurs domaines Autodiscover avec un suffixe TLD et les a configurés pour atteindre un serveur web que nous contrôlons », écrit Amit Serper dans un billet de blog. « Peu après, nous avons détecté une fuite massive d’informations d’identification de domaines Windows qui ont atteint notre serveur ».

Parmi les domaines achetés par le fournisseur, citons Autodiscover.com.br, Autodiscover.com.cn et Autodiscover.com.co ; l’article contient des détails techniques importants sur la manière dont les domaines ont été exploités.

Du 16 avril au 25 août, Guardicore a pu exploiter la faille pour capturer 372 072 informations d’identification de domaines Windows et 96 671 informations d’identification uniques « qui ont fui de diverses applications telles que Microsoft Outlook, des clients de messagerie mobile et d’autres applications s’interfaçant avec le serveur Exchange », écrit Serper.

La faille Autodiscover n’est pas un problème nouveau. Amit Serper relève que Shape Security a d’abord révélé les vulnérabilités de base en 2017 et a présenté les résultats à l’étape asiatique de la conférence Black Hat cette année-là. À l’époque, il avait été constaté que les vulnérabilités – CVE-2016-9940 et CVE-2017-2414 – n’affectaient que les clients de messagerie de terminaux mobiles. « Les vulnérabilités divulguées par Shape Security ont été corrigées, pourtant, nous voici en 2021 avec un paysage de menaces considérablement plus grand, touchant exactement le même problème, mais avec plus d’applications tierces en dehors des clients de messagerie », juge Amit Serper.

Son billet de blog présente deux solutions : une première pour le grand public et une seconde pour les développeurs et les éditeurs de logiciels.

Pour les utilisateurs d’Exchange, Guardicore recommande aux utilisateurs de bloquer les domaines Autodiscover dans leurs pare-feu. Amit Serper précise également que, lors de la configuration d’Exchange, les utilisateurs doivent « s’assurer que la prise en charge de l’authentification de base est désactivée ». Et de poursuivre en expliquant que « l’utilisation de l’authentification de base HTTP revient à envoyer un mot de passe en clair sur le réseau ».

Les développeurs, quant à eux, doivent s’assurer qu’ils ne laissent pas le protocole Autodiscover « échouer vers le haut » : « assurez-vous que lorsque vous implémentez le protocole Autodiscover dans votre produit, vous ne le laissez pas “échouer vers le haut”, ce qui signifie que des domaines tels que “Autodiscover.” ne devraient jamais être construits par l’algorithme de “back-off” ».

Différend sur la divulgation

Microsoft a reproché à Guardicore de ne pas avoir suivi le processus de divulgation des vulnérabilités avant de publier ses recherches. Le géant de Redmond a partagé avec SearchSecurity (groupe TechTarget) la déclaration suivante, attribuée à son directeur principal, Jeff Jones : « nous enquêtons activement et prendrons les mesures appropriées pour protéger les clients. Nous sommes engagés dans la divulgation coordonnée des vulnérabilités, une approche collaborative et standard de l’industrie qui réduit les risques inutiles pour les clients avant que les problèmes ne soient rendus publics. Malheureusement, ce problème ne nous a pas été signalé avant que l’équipe de marketing des chercheurs ne le présente aux médias, si bien que nous avons pris connaissance de ces allégations aujourd’hui ».

À cela, Amit Serper a répondu dans un tweet mercredi soir : « mon rapport cite clairement des recherches de 2017 présentant ce problème : regardez ce document de 2017, comme cela a été présenté à Black Hat Asia 2017. Si c’était un 0day, bien sûr. Il s’agit d’un 1460day, au moins. Dire que Microsoft “n’était pas au courant” est “faux” ».