Microsoft Exchange Autodiscoverのバグ、数十万のドメイン認証情報が流出

Vulnerability

Microsoft Exchangeメールサーバーの機能に設計上の脆弱性があることが発見されました。この脆弱性を悪用すると、世界中のユーザーからWindowsドメインやアプリの認証情報を取得することができるというものです

この脆弱性は、セキュリティ企業Guardicore社のセキュリティリサーチ担当AVPであるAmit Serper氏によって発見され、Exchangeメールサーバーの機能であるMicrosoft Autodiscoverプロトコルに存在し、メールクライアントが自動的にメールサーバーを発見し、認証情報を提供し、適切な設定を受けることを可能にするものです

Autodiscover for Exchange
Learn about the Autodiscover service in Exchange.

Exchange Autodiscover サービスは、クライアントアプリケーションが最小限のユーザー入力で自分自身を構成するための簡単な方法を提供します。

大半のユーザーはメールアドレスとパスワードを知っており、この 2 つの情報があれば、起動するために必要なその他の詳細情報をすべて取得することができます。Exchange Web Services(EWS)クライアントの場合、Autodiscover は通常 EWS エンドポイントの URL を見つけるために使用されますが、Autodiscover は他のプロトコルを使用するクライアントを構成するための情報を提供することもできます。

Autodiscover は、ファイアウォールの内側または外側にあるクライアントアプリケーションで動作し、リソー スフォレストおよびマルチフォレストのシナリオで動作します。

このプロトコルは、管理者がクライアントに適切なSMTP、IMAP、LDAP、WebDAVなどの設定を簡単に行うことができるため、Exchangeメールサーバーの重要な部分となっています。

しかし、この自動設定を行うために、電子メールクライアントは通常、ユーザーの電子メールアドレスのドメインに由来する一連の所定のURLに対してpingを行います。

  • https://autodiscover.example.com/autodiscover/autodiscover.xml
  • http://autodiscover.example.com/autodiscover/autodiscover.xml
  • https://example.com/autodiscover/autodiscover.xml
  • http://example.com/autodiscover/autodiscover.xml

この自動検出メカニズムは、ExchangeサーバーのAutodiscoverエンドポイントを見つけられなかった場合に備えて、「バックオフ」手順を使用していることを発見したといいます。

この “back-off “メカニズムは、ドメインのautodiscover部分を常に解決しようとし、 “fail up “を試みるため、今回の漏洩の原因となっています。つまり、次にautodiscoverのURLを構築しようとしたときの結果は、http://autodiscover.com/autodiscover/autodiscover.xml、つまりautodiscover.comを所有している人は、オリジナルのドメインに到達できないすべてのリクエストを受け取ることになります。

Serper氏は、この発見に基づいて、オンラインでまだ利用可能なAutodiscoverベースのトップレベルドメインを次々と登録していったという。これには以下が含まれていました。

  • Autodiscover.com.br – ブラジル
  • Autodiscover.com.cn – 中国
  • Autodiscover.com.co – コロンビア
  • Autodiscover.es – スペイン
  • Autodiscover.fr – フランス
  • Autodiscover.in – インド
  • Autodiscover.it – イタリア
  • Autodiscover.sg – シンガポール
  • Autodiscover.uk – イギリス
  • Autodiscover.xyz
  • Autodiscover.online

Guardicore社は問題の規模を把握するために、これらのサーバーにハニーポットを設置し、2021年4月16日から2021年8月25日までの4カ月以上にわたり、ハニーポットサーバーは、電子メールクライアントを設定しようとするユーザーから、数千の認証情報を含む数百のリクエストを受信しましたが、その電子メールクライアントは、雇用主の適切なAutodiscoverエンドポイントを見つけることができなかったとのことです。

今回発表されたレポートの中で、「我々が受け取った大量のリクエストに関する問題は、認証済みリクエストを送信する前にリソースが利用可能かどうか、あるいはサーバー上に存在するかどうかをクライアント側で確認しようとする試みがなかったことです」と説明されています。

https://www.guardicore.com/labs/autodiscovering-the-great-leak/

372,072件のWindowsドメイン認証情報と、Microsoft Outlookなどのさまざまなアプリケーションから96,671件の固有の認証情報を取得しました

とコメントしており、同社のハニーポットに接続したドメインを調べたところ、以下のような複数の業種の企業の認証情報を発見したとのことです。

  • 食品メーカー
  • 投資銀行
  • 発電所
  • 電力供給会社
  • 不動産業
  • 海運・物流
  • ファッション・ジュエリー
  • 中国市場の上場企業

収集された認証情報はすべて暗号化されていないHTTP接続を介していましたが、Serper氏は今日のレポートで、NTLMやOauthなどのより安全な形式の認証から認証情報を収集する方法も詳述しています。

Comments

タイトルとURLをコピーしました