นักวิจัยเผยฟีเจอร์ Autodiscover บน Exchange เผยข้อมูล Credentials ผู้ใช้งานนับแสนราย

Amit Serper ผู้เชี่ยวชาญจาก Guardicore ได้ออกมาเปิดเผยถึงความผิดพลาดในระดับการออกแบบของฟีเจอร์ Autodiscover บน Microsoft Exchange ที่การทดลองของ Serper สามารถเก็บ Credentials ของผู้ใช้มาได้นับแสนรายการ

รู้จักกับวิธีการทำงานของ Autodiscover บน Microsoft Exchange

Autodiscover เป็นฟีเจอร์ที่ถูกใช้สำหรับคอนฟิคค่าอัตโนมัติใน Mail Client เช่น Microsoft Outlook ที่องค์กรมักมีการกำหนดการตั้งค่าเริ่มต้นให้ Mail Client

credit : Guardicore

ในระหว่างการทำงานเมื่อผู้ใช้กรอกอีเมลและรหัสผ่านไปแล้ว ตัว Mail Client จะพยายามพิสูจน์ตัวตนกับหลายๆ URLs ที่เป็นของ Exchange Discover ซึ่งมีการส่งชื่อล็อกอินและรหัสผ่านไปยัง URLs โดยอัตโนมัติ ทั้งนี้ตัว URLs ก็สืบทอดมาจากที่อยู่อีเมลที่ตั้งค่าไว้ใน Mail Client เช่นนักวิจัยได้ตั้งค่าทดลองว่าเป็น ‘amit@example.com’ ตัวเขาก็พบว่า URLs ที่พยายามเชื่อมต่อออกไปก็คือ

  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://example.com/Autodiscover/Autodiscover.xml
  • http://example.com/Autodiscover/Autodiscover.xml 

โดยโปรแกรม Client จะพยายามพิสูจน์ตัวตนกับ Microsoft Exchange จนประสบความสำเร็จและนำค่าคอนฟิคกลับมายัง Client แล้วหากพิสูจน์ตัวตนไม่สำเร็จหล่ะ?

สิ่งที่ Serper พบหากกระบวนการนี้ไม่ประสบความสำเร็จคือโปรแกรมจะพยายามสร้าง URL เช่น autodiscover.[tld]  ซึ่ง TLD ก็นำมาจากมาจากที่อยู่อีเมลนั่นเอง โดยตัวอย่างของนักวิจัยที่พบคือ ‘ http://Autodiscover.com/Autodiscover/Autodiscover.xml’ ทั้งหมดของไอเดียก็คือ Mail Client ได้ทำการพิสูจน์ตัวตนกับโดเมนที่ไม่น่าเชื่อถือ เป็นโอกาสให้ปลายทางสามารถเก็บเกี่ยว Credentails เหล่านั้นได้

credit : Guardicore

ขั้นต่อไป Serper จึงได้ไปลงทะเบียนโดเมนต่างๆ ทิ้งไว้และรอดูผลตอบรับ เช่น Autodiscover.com.br, Autodiscover.com.cn, Autodiscover.com.co, Autodiscover.com.sg, Autodiscover.com.uk, Autodiscover.online และอีกหลายประเทศ ผลลัพธ์คือช่วงระหว่าง 20 เมษายนถึง 25 สิงหาคมที่ผ่านมา เซิร์ฟเวอร์เหล่านี้ได้รับ Credentials มาจากหลากหลายอุตสาหกรรม โดยข้อมูลสรุปได้ดังนี้

  • 648,976 HTTP requests ที่เจาะจงมายังโดเมน Autodiscover
  • 372,072 Basic authentication requests
  • 96,671 unique pre-authenticated requests

สำหรับ Basic Authentication ก็คือ email client ได้ส่ง Credentials เข้ามาในรูปแบบที่ดูได้ง่าย แต่สำหรับวิธีการแบบ NTLM และ Oauth ทางผู้เชี่ยวชาญก็มีวิธีการ downgrade request เป็น Basic Authentication หรือ Cleartext ได้เช่นกัน (ตามภาพประกอบ)

credit : Guardicore

การป้องกัน

  1. ในระดับองค์กรควรใช้ Firewall หรือ DNS Server ช่วยบล็อกโดเมน Autodiscover.[tld] ที่อาจเกิดขึ้น โดย Serper ได้ทำลิสต์โดเมนขึ้นตามไฟล์นี้ https://github.com/guardicore/labs_campaigns/tree/master/Autodiscover 
  2. ในมุมของนักพัฒนาควรจะป้องกัน Mail Client ไม่ให้เกิดการสร้างโดเมนส่งออกไปในลักษณะนี้

เบื้องต้น Microsoft ทราบเรื่องแล้วและกำลังสืบหาอยู่ แต่ชี้ว่าตนไม่ได้รับการติดต่อเรื่องช่องโหว่ก่อนมีรายงานออกมา

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-autodiscover-bugs-leak-100k-windows-credentials/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ผลิตภัณฑ์ระดับองค์กรของ GIGABYTE รองรับโปรเซสเซอร์ AMD Ryzen Threadripper PRO 5000WX Series

GIGABYTE Technology (TWSE: 2376) ผู้นำในอุตสาหกรรมเซิร์ฟเวอร์และเวิร์กสเตชันประสิทธิภาพสูง ประกาศสนับสนุนโปรเซสเซอร์ AMD Ryzen Threadripper PRO 5000WX Series บนเมนบอร์ด GIGABYTE MC62-G40 …

ทศวรรษแห่งความภูมิใจ ทรู ไอดีซี คว้ารางวัล 2022 Thailand Data Center Services Company of the Year จาก Frost & Sullivan [Guest Post]

บริษัท ทรู อินเทอร์เน็ต ดาต้า เซ็นเตอร์ จำกัด (ทรู ไอดีซี) ได้รับเกียรติรับรางวัล “2022 Thailand Data Center Services Company of …