Exchange e Outlook sono di nuovo nel mirino: il protocollo Autodiscover, un sistema che permette di configurare una email qualsiasi inserendo solo indirizzo e password, ha riscontrato una falla che può reindirizzare i dati in chiaro su domini esterni posseduti da chiunque. Quindi, la nostra password e mail, nelle mani di un centinaio se non di più, di persone.
Ancora allerta fuga di dati su Exchange e Outlook. Questa volta a scoprire la falla è stato Guardicore, che offre servizi di sicurezza per data center e cloud. Il sistema ha infatti scoperto una falla legata al protocollo Autodiscover di Microsoft Exchange. Questo protocollo consente di procedere con la configurazione automatica di un client Exchange, come un account di posta elettronica Outlook, usando solo la mail e la password. La vulnerabilità è come un gatto in tangenziale : è sufficiente acquistare domini chiamati “autodiscover.com”, o per esempio anche “autodiscover.it”, per avere la possibilità di ricevere le credenziali degli account che usano il protocollo Autodiscover di Microsoft per configurare automaticamente una casella di posta, all’insaputa del povero utente a cui sono stati sottratti i dati.
LEGGI ANCHE>>> Microsoft Exchange, oltre dieci gruppi hacker stanno sfruttando la breach
Cosa ci troviamo davanti
Avendo scoperto la falla, Guardicore ha voluto fare un esempio pratico del rischio, acquistando undici dominii chiamati per esempio: “Autodiscover.fr”, “Autodiscover.in” o “Autodiscover.it” e dal 16 aprile al 25 agosto del 2021 ha ricevuto su questi dominii più di 370.000 credenziali in totale, di cui circa 97.000 trapelate da varie applicazioni come Microsoft Outlook ed Exchange. Tutto in chiaro. La dimostrazione no ha lasciato niente su cui poter avere un minimo dubbio. La vulnerabilità si manifesta in questo modo, ve lo dimostriamo in pratico (grazie a DDay per l’esempio) : l’utente, ha come indirizzo di posta elettronica Ross@Rachel.com con password:wewereonabreak. Basta configurare il programma di posta Outlook inserendo questi dati e a quel punto si attiva Autodiscover.
Il client cerca di costruire un URL Autodiscover basato sull’indirizzo email con il seguente formato:
https://Autodiscover.Rachel.com/ Autodiscover/Autodiscover.xml
http://Autodiscover.Rachel.com/ Autodiscover/Autodiscover.xml
Se nessuno di questi URL risponde, sale di livello e passa a:
https://Rachel.com/ Autodiscover/Autodiscover.xml
http://Rachel.com/
Autodiscover/Autodiscover.xml
Se neanche in questo caso si riesce a trovare l’URL di riferimento, Autodiscover sale “troppo” di livello e passa a cercare l’indirizzo in
http://Autodiscover.com/Autodiscover/ Autodiscover.xml
In questo caso si connette quindi a un dominio chiamato Autodiscover.com che non appartiene a Microsoft e che riceverà email e password dell’utente. Se si va a cercare Autodiscover.com in WHOIS si scopre che dal 2002 è di qualcuno che ha scelto di rendere privata la sua identità. Di certo non appartiene a Microsoft, ma molto probabilmente abbiamo a che fare con un hacker.
LEGGI ANCHE>>>Gmail cambia nella versione per Android: ecco la nuova implementazione con Material You
Per ora non c’è niente da fare
Al momento non c’è una patch, una toppa da mettere nel sistema, e Microsoft ha anche risposto alla stampa attraverso il direttore alle Comunicazioni Jeff Jones che Guardicore ha reso pubblica la falla senza prima segnalarla a Microsoft. Quindi ha agito senza prima consultare il big tech. Not cool. La vulnerabilità si può quindi solo “tener buona”. Guardicore però dice che è possibile rifiutare le richieste DNS per i domini Autodiscover: se per ogni richiesta di risolvere un dominio che inizia con “Autodiscover” è bloccata, il protocollo Autodiscover non sarà in grado di divulgare le credenziali e quindi l’utente non potrà entrare nella mail di un altro.