A falha está no Autodiscover, protocolo utilizado pelo Microsoft Exchange para configuração automática de aplicativos como, por exemplo, o Outlook

A descoberta do Guardicore Labs foi publicada no blog do laboratório, em texto assinado por Amit Serper, vice-presidente de pesquisa e segurança da Guardicore para a América do Norte. Ele aponta que "frequentemente invasores tentam obter credenciais de usuários por meios técnicos ou de engenharia social. No entanto, as senhas podem ser vazadas simplesmente por um protocolo criado para agilizar as operações dos times de TI na configuração dos clientes de e-mail - o que enfatiza a importância dos conceitos de Zero Trust e implementação de microssegmentação adequada".

Como se dá o vazamento

O Autodiscover, protocolo do Microsoft Exchange para configuração automática de aplicações como Microsoft Outlook, por exemplo, permite que o usuário final configure seu cliente fornecendo um nome de usuário e senha e deixando o resto da configuração por conta do protocolo.

O problema é que há no Autodiscover uma falha de projeto permitindo o vazamento de solicitações web feitas a domínios fora do domínio do usuário, mas com o mesmo TLD (por exemplo, Autodiscover.com). Serper registrou diversos nomes de domínios com

"Autodiscover" e os configurou para que se conectassem com um servidor web sob seu controle - detectando assim um vazamento maciço de credenciais de domínio Windows para esse servidor.

Entre 16 abril e 25 de agosto, o Guardicore Labs capturou 372.072 credenciais de domínio do Windows, entre elas 96.671 credenciais únicas vazadas de diferentes aplicativos, como Outlook, e-mail móvel e outros aplicativos que fazem interface com o servidor Exchange da Microsoft. Essas credenciais são de empresas de energia, transporte e alimentos, entre outras. Se houvesse intenção maliciosa, o resultado teria sido desastroso.

Amit Serper comenta que se trata de um problema de segurança grave, pois se um invasor for capaz de controlar determinados domínios ou "farejar" o tráfego da rede, ele pode capturar credenciais de domínio em texto simples (autenticação HTTP básica) que estejam sendo transferidas por essa rede. Além disso, se o invasor tiver recursos para "envenenar" DNS em grande escala (por exemplo, um estado-nação), ele poderá criar uma campanha para drenar senhas sistematicamente.