एक्सचेंज/आउटलुक ऑटोडिस्कवर बग उजागर 100,000+ ईमेल पासवर्ड

एक काले रंग की पृष्ठभूमि के खिलाफ कोड की लाइनें ..
बड़े आकार में / यदि आप सही डोमेन के स्वामी हैं, तो आप केवल एक मानक वेबसर्वर का संचालन करके, सैकड़ों-हजारों निर्दोष तृतीय पक्षों के ईमेल क्रेडेंशियल्स को इंटरसेप्ट कर सकते हैं।

गार्डिकोर के सुरक्षा शोधकर्ता अमित सर्पर ने माइक्रोसॉफ्ट में एक गंभीर खामी की खोज की स्वत: खोज—वह प्रोटोकॉल जो केवल आवश्यक पते और पासवर्ड के साथ एक ईमेल खाते के स्वचालित विन्यास की अनुमति देता है। दोष उन हमलावरों को अनुमति देता है जो “ऑटोडिस्कवर” नाम के डोमेन खरीदते हैं – उदाहरण के लिए autodiscover.com, या autodiscover.co.uk – उन उपयोगकर्ताओं के स्पष्ट-पाठ खाता क्रेडेंशियल्स को इंटरसेप्ट करने के लिए जिन्हें नेटवर्क कठिनाई हो रही है (या जिनके व्यवस्थापक गलत तरीके से DNS कॉन्फ़िगर करते हैं)।

गार्डिकोर ने ऐसे कई डोमेन खरीदे और उन्हें इस साल 16 अप्रैल से 25 अगस्त तक प्रूफ-ऑफ-कॉन्सेप्ट क्रेडेंशियल ट्रैप के रूप में संचालित किया:

  • Autodiscover.com.br
  • Autodiscover.com.cn
  • Autodiscover.com.co
  • स्वतः खोज.es
  • स्वतः खोज.fr
  • Autodiscover.in
  • ऑटोडिस्कवर.आईटी
  • ऑटोडिस्कवर.एसजी
  • ऑटोडिस्कवर.यूके
  • स्वतः खोज.xyz
  • ऑटोडिस्कवर.ऑनलाइन

इन डोमेन से जुड़े एक वेब सर्वर को स्पष्ट पाठ में सैकड़ों-हजारों ईमेल क्रेडेंशियल-जिनमें से कई विंडोज एक्टिव डायरेक्ट्री डोमेन क्रेडेंशियल के रूप में भी दोगुने हैं- प्राप्त हुए। क्रेडेंशियल उन ग्राहकों से भेजे जाते हैं जो URL का अनुरोध करते हैं /Autodiscover/autodiscover.xml, एक HTTP बेसिक प्रमाणीकरण हेडर के साथ जिसमें पहले से ही असहाय उपयोगकर्ता के बेस 64-एन्कोडेड क्रेडेंशियल शामिल हैं।

तीन प्रमुख दोष समग्र भेद्यता में योगदान करते हैं: प्रमाणीकरण विफल होने पर ऑटोडिस्कवर प्रोटोकॉल का “बैकऑफ़ और एस्केलेट” व्यवहार, उपयोगकर्ता क्रेडेंशियल्स को छोड़ने से पहले ऑटोडिस्कवर सर्वर को मान्य करने में इसकी विफलता, और पहले स्थान पर HTTP बेसिक जैसे असुरक्षित तंत्र का उपयोग करने की इसकी इच्छा। .

स्वतः खोज के साथ ऊपर की ओर विफल होना

ऑटोडिस्कवर प्रोटोकॉल का वास्तविक कार्य खाता कॉन्फ़िगरेशन का सरलीकरण है—आप शायद अपने ईमेल पते और पासवर्ड को याद रखने के लिए एक सामान्य उपयोगकर्ता पर भरोसा कर सकते हैं, लेकिन दशकों की कंप्यूटिंग ने हमें सिखाया है कि उन्हें POP3 या IMAP4, TLS जैसे विवरण याद रखने और ठीक से दर्ज करने के लिए कहें। या एसएसएल, टीसीपी 465 या टीसीपी 587, और वास्तविक मेल सर्वर के पते कई पुल बहुत दूर हैं।

ऑटोडिस्कवर प्रोटोकॉल सामान्य उपयोगकर्ताओं को सार्वजनिक रूप से सुलभ सर्वर पर खाता कॉन्फ़िगरेशन के सभी गैर-निजी भागों को संग्रहीत करके, बिना सहायता के अपने स्वयं के ईमेल खातों को कॉन्फ़िगर करने की अनुमति देता है। जब आप आउटलुक में एक एक्सचेंज अकाउंट सेट करते हैं, तो आप उसे एक ईमेल एड्रेस और एक पासवर्ड फीड करते हैं: उदाहरण के लिए, [email protected] पासवर्ड के साथ Hunter2.

उपयोगकर्ता के ईमेल पते से लैस, ऑटोडिस्कवर एक प्रकाशित एक्सएमएल दस्तावेज़ में कॉन्फ़िगरेशन जानकारी खोजने के बारे में सेट करता है। यह निम्न URL के लिए HTTP और HTTPS दोनों कनेक्शनों का प्रयास करेगा। (ध्यान दें: contoso एक Microsoftवाद है, का प्रतिनिधित्व किसी विशिष्ट डोमेन के बजाय एक उदाहरण डोमेन नाम।)

  • http(s)://Autodiscover.example.contoso.com/Autodiscover/Autodiscover.xml
  • http(s)://example.contoso.com/Autodiscover/Autodiscover.xml

अब तक, इतना अच्छा – हम यथोचित रूप से मान सकते हैं कि किसी को भी संसाधनों को रखने की अनुमति है example.contoso.com या इसके Autodiscover उपडोमेन को के स्वामी द्वारा स्पष्ट विश्वास प्रदान किया गया है example.contoso.com अपने आप। दुर्भाग्य से, यदि ये प्रारंभिक कनेक्शन प्रयास विफल हो जाते हैं, तो स्वतः खोज बंद हो जाएगा और उच्च-स्तरीय डोमेन पर संसाधनों को खोजने का प्रयास करेगा।

इस मामले में, ऑटोडिस्कवर का अगला कदम तलाश करना होगा /Autodiscover/Autodiscover.xml पर contoso.com स्वयं, साथ ही Autodiscover.contoso.com. यदि यह विफल हो जाता है, तो ऑटोडिस्कवर फिर से विफल हो जाता है—इस बार ईमेल और पासवर्ड जानकारी भेज रहा है autodiscover.com अपने आप।

यह काफी बुरा होगा यदि Microsoft का स्वामित्व है autodiscover.com-लेकिन वास्तविकता काफी संदिग्ध है। वह डोमेन मूल रूप से 2002 में पंजीकृत किया गया था और वर्तमान में GoDaddy के WHOIS गोपनीयता कवच का उपयोग करके किसी अज्ञात व्यक्ति या संगठन के स्वामित्व में है।

गार्डीकोर के परिणाम

लगभग चार महीनों में गार्डिकोर ने अपना परीक्षण क्रेडेंशियल ट्रैप चलाया, इसने स्पष्ट पाठ में ईमेल उपयोगकर्ता नाम और पासवर्ड के 96,671 अद्वितीय सेट एकत्र किए। ये क्रेडेंशियल संगठनों की एक विस्तृत श्रृंखला से आए हैं-सार्वजनिक रूप से कारोबार करने वाली कंपनियां, निर्माता, बैंक, बिजली कंपनियां, और बहुत कुछ।

प्रभावित उपयोगकर्ताओं को आउटलुक में HTTPS/TLS त्रुटियाँ नहीं दिखाई देती हैं—जब ऑटोडिस्कवर प्रोटोकॉल से विफल हो जाता है Autodiscover.contoso.com.br प्रति Autodiscover.com.br, द्वारा प्रदान की गई सुरक्षा contosoअपने स्वयं के एसएसएल प्रमाणपत्र का स्वामित्व गायब हो जाता है। जिसने भी खरीदा Autodiscover.com.br—इस मामले में, गार्डीकोर—बस अपना स्वयं का प्रमाणपत्र प्रदान करता है, जो संबंधित नहीं होने के बावजूद टीएलएस चेतावनियों को संतुष्ट करता है contoso बिलकुल।

कई मामलों में, आउटलुक या इसी तरह का क्लाइंट शुरू में अपने उपयोगकर्ता के क्रेडेंशियल्स को अधिक सुरक्षित प्रारूप में पेश करेगा, जैसे कि NTLM. दुर्भाग्य से, वेब सर्वर से HTTP बेसिक प्रमाणीकरण का अनुरोध करने वाला एक साधारण HTTP 401 वह सब कुछ है जो आवश्यक है – जिस पर ऑटोडिस्कवर का उपयोग करने वाला क्लाइंट अनुपालन करेगा (आमतौर पर उपयोगकर्ता को त्रुटि या चेतावनी के बिना) और बेस 64 एन्कोडेड सादे पाठ में प्रमाण-पत्र भेज देगा, स्वतः खोज अनुरोध का उत्तर देने वाले वेब सर्वर द्वारा पूरी तरह से पठनीय।

निष्कर्ष

यहाँ वास्तव में बुरी खबर यह है कि, आम जनता के दृष्टिकोण से, वहाँ है इस स्वतः खोज बग के लिए कोई शमन रणनीति नहीं। यदि आपके संगठन के ऑटोडिस्कवर इंफ्रास्ट्रक्चर का दिन खराब चल रहा है, तो आपका क्लाइंट “ऊपर की ओर विफल” होगा, जैसा कि वर्णित है, संभावित रूप से आपके क्रेडेंशियल्स को उजागर कर रहा है। Microsoft के वरिष्ठ निदेशक जेफ जोन्स के अनुसार, इस दोष को अभी तक ठीक नहीं किया गया है, गार्डिकोर ने Microsoft को इसकी रिपोर्ट करने से पहले सार्वजनिक रूप से इस दोष का खुलासा किया।

यदि आप एक नेटवर्क व्यवस्थापक हैं, तो आप स्वतः खोज डोमेन के लिए DNS अनुरोधों को अस्वीकार करके समस्या को कम कर सकते हैं—यदि “स्वतः खोज” से शुरू होने वाले डोमेन को हल करने का प्रत्येक अनुरोध अवरुद्ध है, तो स्वतः खोज प्रोटोकॉल क्रेडेंशियल लीक करने में सक्षम नहीं होगा। फिर भी, आपको सावधान रहना चाहिए: आप लौटकर ऐसे अनुरोधों को “अवरुद्ध” करने के लिए लुभा सकते हैं 127.0.0.1, लेकिन यह एक चतुर उपयोगकर्ता को किसी और के ईमेल और/या सक्रिय निर्देशिका क्रेडेंशियल की खोज करने की अनुमति दे सकता है, यदि वे उपयोगकर्ता के पीसी में लॉग इन करने के लिए लक्ष्य को धोखा दे सकते हैं।

यदि आप एक एप्लिकेशन डेवलपर हैं, तो इसे ठीक करना आसान है: ऑटोडिस्कवर स्पेक के त्रुटिपूर्ण हिस्से को पहले स्थान पर लागू न करें। यदि आपका एप्लिकेशन पहली बार में “अपस्ट्रीम” डोमेन के विरुद्ध प्रमाणित करने का प्रयास नहीं करता है, तो यह ऑटोडिस्कवर के माध्यम से आपके उपयोगकर्ताओं के क्रेडेंशियल लीक नहीं करेगा।

अधिक तकनीकी विवरण के लिए, हम गार्डीकोर की खुद की अत्यधिक अनुशंसा करते हैं ब्लॉग भेजा साथ ही साथ माइक्रोसॉफ्ट का अपना ऑटोडिस्कवर प्रलेखन.

द्वारा सूचीबद्ध छवि Getty Images के माध्यम से Just_Super

(Visited 7 times, 1 visits today)

About The Author

You might be interested in

प्यू-अमेरिका-के-42-उपयोगकर्ता-मुख्य-रूप-से-मनोरंजन-के.jpg
0

LEAVE YOUR COMMENT