Microsoft Exchange: Cien mil credenciales en riesgo

Un fallo en el servicio Autodiscover de Microsoft Exchange expone credenciales de mas de cien mil usuarios de diferentes dominios.

Este fallo ha sido descubierto por el equipo de investigadores de Guardicore. El fallo se encuentran en la implementación de Autodiscover basada en el protocolo POX para XML. La implementación hace posible que request dirigidas a los dominios de autodiscover se filtraran fuera de el dominio del usuario a otros dominios con el mismo tld (Top Level Domain). Esto ocurre debido a que autodiscover siempre trata de encontrar un dominio valido siguiendo una serie de reglas predefinidas para ello (algoritmo de back-off). Estas reglas pueden derivar a que peticiones a autodiscover.example.com acaben llegando al dominio autodiscover.com cuyo dueño es otro.

Este problema con el algoritmo de backoff unido a un ataque que los investigadores han bautizado como Switcheroo permite recuperar las credenciales introducidas por los usuarios codificadas en base 64. Un análisis mas detallado de este ataque se puede encontrar en las referencias de esta noticia.

Si bien no hay evidencias de que esta vulnerabilidad se este explotando por algún actor malicioso. Actualmente Microsoft no ha lanzado parche para esta vulnerabilidad ni se ha pronunciado al respecto. El equipo que descubrió la vulnerabilidad recomienda mitigarla con el baneo de los dominios del tipo autodiscover.tld, incluso ofrecen una lista de estos para facilitar el parcheo. También recomiendan deshabilitar la autenticación mediante basic auth en los servidores de Microsoft Exchange evitando así que las credenciales viajen sin cifrar.

Ver información original al respecto en Fuente>