Como parte de los esfuerzos de investigación de seguridad en curso, el equipo de Guardicore Labs ha descubierto un caso alarmante de fuga de credenciales en Autodiscover de Microsoft que afecta a una gran cantidad de personas en todo el mundo.
Asimismo el protocolo de Autodiscover de Microsoft está destinado a facilitar la configuración de clientes de Exchange como Microsoft Outlook. El objetivo del protocolo es hacer que un usuario final pueda configurar completamente su cliente de Outlook únicamente proporcionando su nombre de usuario y contraseña y dejar el resto de la configuración al protocolo de Autodiscover de Microsoft Exchange.
Sin embargo las filtraciones descubiertas por Guardicore radican en las credenciales de dominio de Windows válidas que se utilizan para autenticarse en los servidores de Microsoft Exchange. Asimismo, la fuente de estas fugas se compone de dos problemas:
- El diseño del protocolo de Autodiscover de Microsoft (y el algoritmo de “retroceso” en específico).
- La mala implementación de este protocolo en algunas aplicaciones.
De acuerdo a Amit Serper, vicepresidente senior de investigación de seguridad, América del Norte de Guardicore, es importante comprender que, dado que Microsoft Exchange forma parte del “conjunto de soluciones de dominio de Microsoft”, las credenciales necesarias para iniciar sesión en la bandeja de entrada de Exchange son, en la mayoría de los casos, sus credenciales de dominio..
Las implicaciones de una fuga de credenciales de dominio a tal escala son enormes y pueden poner en peligro a las organizaciones. Especialmente en el mundo actual devastado por los ataques de ransomware, la forma más fácil para que un atacante ingrese a una organización es utilizar credenciales legítimas y válidas¨.
Serper