Microsoft Exchange Server Autodiscover’daki Zafiyet Kimlik Bilgilerinin Çalınmasına Neden Oluyor

Microsoft Exchange’in Autodiscover özelliğinin uygulanmasındaki zafiyetler dünya çapında 100.000 kullanıcı adı ve parolanın sızdırmasına neden oldu.

Guardicore’un Güvenlik Araştırmaları Başkan Yardımcısı Amit Serper tarafından hazırlanan yeni bir raporda, Microsoft Exchange’deki bir hatadan ziyade Otomatik Bulma protokolünün yanlış uygulanmasının windows kimlik bilgilerinin üçüncü taraf güvenilmeyen web sitelerine gönderilmesine neden olduğunu ortaya koyuyor.

Microsoft Exchange Autodiscover özelliği nedir

Microsoft Exchange, bir  kullanıcının Microsoft Outlook gibi posta istemcisini kuruluşunun önceden tanımlanmış posta ayarlarıyla otomatik olarak yapılandırmak için Autodiscover (otomatik bulma özelliği) kullanır.

Bir Exchange kullanıcısı, Microsoft Outlook gibi bir e-posta istemcisine e-posta adresini ve parolasını girdiğinde, posta istemcisi çeşitli Exchange Autodiscover URL’lerinde kimlik doğrulaması yapmaya çalışır.

Serper  ‘amit@test.com’ e-postasını kullanarak Autodiscover özelliğini test ettiğinde, posta istemcisinin aşağıdaki Autodiscover URL’lerinde kimlik doğrulaması yapmaya çalıştığı gördü.

Posta istemcisi, Microsoft Exchange sunucusunda başarıyla doğrulanana ve yapılandırma bilgileri istemciye geri gönderilene kadar her URL’yi dener.

Kimlik bilgilerini sızdırma

İstemci yukarıdaki URL’lerde kimlik doğrulaması yapamazsa Serper, Microsoft Outlook dahil bazı posta istemcilerinin bir “geri çekme” prosedürü gerçekleştirildiği tespit edildi. Bu prosedür, TLD’nin kullanıcının e-posta adresinden türetildiği autodiscover.[tld] etki alanı gibi kimlik doğrulaması yapılacak ek URL’ler oluşturmaya çalışır.

Bu özel durumda, oluşturulan URL http://Autodiscover.com/Autodiscover/Autodiscover.xml’dir.

Otomatik bulma protokolünün yanlış uygulanması, posta istemcilerinin, sorunun başladığı autodiscover.com gibi güvenilmeyen etki alanlarında kimlik doğrulaması yapmasına neden oluyor.

E-posta kullanıcısının kuruluşu, bu etki alanına sahip olmadığından ve kimlik bilgileri URL’ye otomatik olarak gönderildiğinden, etki alanı sahibinin kendisine gönderilen tüm kimlik bilgilerini toplamasına olanak tanır.

Güvenlik araştırmacıları bunu test etmek içi, aşağıdaki etki alanlarını kaydettirdi ve Microsoft Exchange Autodiscover özelliği tarafından kaç tane kimlik bilgisinin sızdırılacağını görmek için her birine web sunucuları kurdu.

Bu alanlar kaydedildikten ve kullanıldıktan sonra Microsoft Outlook dahil olmak üzere e-posta istemcilerinin temel kimlik doğrulamalarını kullanarak birçok hesap kimlik bilgilerini göndererek onları kolayca görüntülenebilir hale getirildiği keşfedildi.

NTLM ve Oauth kullanarak kimlik bilgileri gönderen Microsoft Outlook istemcileri için istemciyi isteği temel kimlik doğrulama isteğine düşürmeye zorlayacak “The ol’ switcheroo” adlı bir saldırı oluşturdu. Bu, araştırmacının kullanıcı için açık metin şifrelerine erişmesine bir kez daha izin verecektir.

20 Nisan 2021 ve 25 Ağustos 2021 tarihleri ​​arasında bu testleri gerçekleştirirken araştırmacılar aşağıdaki bilgileri ele geçirdi:

Araştırmacılar kimlik bilgilerini gönderen sektörleri aşağıdaki gibi sıraladı:

Microsoft Exchange Autodiscover sızıntılarını azaltma

Şu an için Microsoft’tan konu ile ilgili bir açıklama gelmiş değil.

Kaynak: bleepingcomputer.com

Exit mobile version