Huda ranljivost v protokolu za Exchange in Outlook

Matej Huš

25. sep 2021 ob 22:05:57

Microsoftovi odjemalci za elektronsko pošto imajo resnega hrošča, proti katerem se običajni uporabniki ne morejo zaščititi in ki napadalcem omogoča nabiranje prijavnih podatkov (uporabniških imen in gesel). Ranljivost tiči v protokolu autodiscover, ki ga uporabljata Exchange in Outlook za preprosto konfiguracijo odjemalcev. Odkrili so jo v Guardicoru, Microsoft pa popravka še ni izdal.

Autodiscover
ima koristen namen, saj od uporabnikov ni realistično pričakovati, da si bodo zapomnili vse podrobnosti za nastavitev elektronskega predala. Uporabniško ime in geslo je nujno poznati, medtem ko imena strežnikov, protokole, vrata in podobno lahko skladiščimo na javno dostopnih strežnikih. V praksi autodiscover deluje tako, da pri nastavitvi odjemalca vpišemo naslov in geslo, denimo ime@oddelek.podjetje.com. Outlook bo potem pogledal, ali obstaja strežnik autodiscover.oddelek.podjetje.com. Če ga ne bo našel, bo povprašal še na oddelek.podjetje.com in podjetje.com. In če niti od teh naslovov ne bo dobil odgovora, bo vprašal še autodiscover.com. Ta pa seveda ni v lasti podjetja, ki mu pripada elektronski naslov. Če ta domena obstaja, ker jo je registriral napadalec, ji bo Outlook posredoval prijavne podatke. Še več, Outlook bo brez pritoževanja izpolnil morebitno zahtevo, naj jih posreduje v besedilni obliki.

Kot lahko sklepamo iz opisa, se težava pojavi, kadar strežniki podjetja niso dosegljivi. Za to zadostuje že nepravilna konfiguracija strežnikov DNS v podjetju, pa bodo podatki leteli naokoli. Raziskovalci so v registrirali več domen autodiscover in potrdili, da ranljivost funkcionira. Če imamo certifikat SSL, kar za lastno domeno ni težko, potem Outlook uporabniku sploh ne izpiše nobenega opozorila. Microsoft je dejal, da o ranljivosti predhodno niso bili obveščeni, so pa zanjo izvedeli iz medijev in so jo začeli odpravljati.