Les programmes de messagerie électronique de Microsoft, Outlook et Exchange, sont dotés d’une fonction qui est censée faciliter la tâche des nouveaux utilisateurs lorsqu’ils configurent leur compte de messagerie électronique pour la première fois : Par exemple, l’utilisateur n’a qu’à saisir son adresse électronique et le programme trouve tout seul les paramètres du serveur de messagerie associé. Il fonctionne, de manière invisible pour l’utilisateur, via un protocole appelé Autodiscover.
Ce protocole présente des failles conceptuelles connues depuis longtemps et peut être exploité par des attaquants pour obtenir des identifiants de connexion en clair pour des boîtes aux lettres électroniques et même le domaine Windows local. Une société de sécurité vient d’expliquer en détail comment cela fonctionne.
Des chercheurs en sécurité de la société Guardicore ont maintenant documenté des tentatives réussies d’espionnage de ces informations d’identification via Autodiscover. Ils se sont principalement concentrés sur les données de connexion de Windows. Au total, ils ont réussi à espionner plus de 372 000 tentatives de connexion à des domaines Windows en un peu moins de quatre mois. Les données de connexion de 96 671 comptes Windows ont ainsi été retrouvées en texte clair. Les tentatives de connexion provenaient de programmes de messagerie Outlook et mobiles de Microsoft et d’autres fournisseurs qui tentaient de se connecter aux serveurs Exchange des organisations après la création d’un nouveau compte de messagerie. Selon Gaurdicore, les organisations concernées comprennent des banques, des entreprises de transport, des fabricants de produits alimentaires, de grandes sociétés cotées sur le marché chinois, ainsi que des exploitants de centrales et de réseaux électriques dans plusieurs pays. Cependant, la société de sécurité ne souhaite pas identifier plus précisément les victimes.
Sommaire
Autodiscover fonctionne de manière trop fiable
Guardicore a pu lire ces informations d’identification car elles ont été divulguées au réseau public en raison d’une faille dans la conception du protocole. Les programmes de messagerie de Microsoft s’efforcent de faciliter autant que possible la création de comptes de messagerie par les utilisateurs. Par conséquent, ils utilisent autodiscover pour rechercher une URL de configuration d’un serveur Exchange dans le domaine Windows de l’utilisateur. Si l’utilisateur saisit une adresse électronique, le protocole suppose que le domaine qu’elle contient est également le domaine Windows de l’organisation.
Pour l’adresse e-mail [email protected] le logiciel essaiera d’abord de trouver un point de terminaison de configuration sous le nom de autodiscover.beispielfirma.de et sous beispielfirma.de peuvent être joints. Si personne ne répond, le protocole Autodiscover devient créatif et c’est exactement le problème. Le logiciel essaie maintenant d’assembler une URL à partir des blocs de construction « Autodiscover », du domaine de l’entreprise (exemple entreprise) et du TLD (.de), sous lesquels il reçoit une réponse. Cela peut également donner lieu à la combinaison Autodiscover.TLD.
Ainsi, le programme de courrier électronique peut tenter de découvrir des domaines tels que autodiscover.de il utilise donc le module « autodiscover » et le TLD de l’adresse e-mail saisie. Mais malheureusement, ces derniers sont publics et peuvent être enregistrés par n’importe qui. Et c’est exactement ce qui se passe avec autodiscover.de et autodiscover.com ont également déjà eu lieu – le dernier domaine au moins semble avoir des propriétaires plutôt douteux. En effet, les chercheurs de Guardicore ont réussi à enregistrer les domaines autodiscover.es, .fr, .in, .it, .sg, .uk, .com.br, .com.cn, .com.co, .xyz et .online. Et là, leurs serveurs étaient maintenant à l’écoute des demandes entrantes d’autodiscover.
Données en texte brut envoyées à des serveurs inconnus
Il est intéressant de noter que les serveurs recevaient directement les données de connexion – en clair ou codées en Base64 – sans que le client ne vérifie au préalable s’il existe réellement un serveur connu à l’autre bout. Dans certains cas, Outlook a essayé d’authentifier sa demande au serveur Exchange supposé avec un jeton au lieu d’une connexion en texte clair, afin qu’un attaquant ne puisse pas faire de mal au domaine par la suite. Cependant, comme Microsoft était trop digne de confiance lors de la construction du protocole, le serveur peut déclasser cette demande sous le contrôle de l’attaquant et ainsi obtenir à nouveau des informations d’identification utilisables.
Cependant, ce déclassement entraîne une demande à l’utilisateur, qui doit maintenant entrer son nom d’utilisateur et le mot de passe du domaine. Si le serveur ne dispose pas d’un certificat TLS auquel la machine de l’utilisateur fait confiance, l’utilisateur est averti. Guardicore a cependant contourné ce problème en faisant en sorte que son serveur émette un certificat de confiance de Let’s Encrypt en temps réel. Ainsi, l’utilisateur à l’autre bout du fil n’a pas reçu d’avertissement, mais seulement une demande de ses informations d’identification Windows, ce qui semble parfaitement légitime dans le contexte de la création d’un nouveau compte de messagerie. Comme on pouvait s’y attendre, les chercheurs en sécurité ont pu saisir beaucoup de données ici aussi.
Le fait qu’Outlook et Exchange envoient de simples informations d’identification en texte brut, authentifiées par HTTP, à des serveurs inconnus constitue un énorme problème. Bien que les chercheurs n’aient examiné qu’une seule version (basée sur Plain Old XML ou POX) de nombreux protocoles Autodiscover et qu’ils soient loin d’avoir réussi à lire les données dans toutes les configurations possibles, le succès de leur espionnage des données dans le réseau public avec les domaines auto-enregistrés devrait donner à réfléchir.
Le problème n’est pas nouveau
Ce qui est particulièrement inquiétant, c’est que Autodiscover est connu pour causer des problèmes de cette manière depuis des années. En 2017, les chercheurs en sécurité de Shape Security ont publié un article détaillé sur des problèmes similaires d’autodécouverte dans les clients de messagerie mobiles. Ils ont signalé ces vulnérabilités sous les noms de CVE-2016-9940 et CVE-2017-2414.
On peut supposer que depuis lors, les vulnérabilités de l’autodiscover dans d’autres programmes de messagerie ont également été découvertes par des pirates. Certains de ces pirates auront probablement aussi eu des intentions malveillantes. Le fait que certains TLD autodécouverts soient enregistrés depuis des années, parfois de manière anonyme, laisse présager de mauvaises choses.
Dans le sillage de la réponse de nombreuses entreprises à la pandémie de SRAS-CoV-2 l’année dernière, il est également probable qu’il y ait eu une augmentation des enregistrements de nouveaux comptes de messagerie en raison du déplacement accru des travailleurs vers le bureau à domicile. Ce qui signifie probablement que la collecte de ces données de connexion est devenue beaucoup plus lucrative. Il faut également supposer que les identifiants Windows capturés sont aujourd’hui particulièrement utiles pour les attaquants, puisque de plus en plus d’entreprises doivent s’ouvrir aux identifiants du réseau public.
Comment se protéger
Les chercheurs de Guardicore disent avoir informé certaines des organisations touchées pour lesquelles ils ont pu obtenir des informations d’identification. Selon le site d’information américain ZDNet Microsoft a déclaré ne pas avoir été contacté par les chercheurs. Ils enquêtent actuellement sur ce rapport et prendront « les mesures appropriées » pour protéger leurs clients. Si les problèmes décrits par Guardicore sont tout à fait exacts, on peut se demander pourquoi cette énorme fuite de données dans le protocole Autodiscover a pu mettre en danger les réseaux des clients de Microsoft pendant des années, voire des décennies, sans que la société ne prenne des mesures de son côté.
Les administrateurs qui ne veulent pas attendre les tentatives de Microsoft pour sécuriser le protocole (comparez les conséquences du grand piratage d’Exchange au début de l’année) devraient sécuriser la configuration de leurs réseaux. Les chercheurs de Guardicore recommandent d’ajuster les règles du pare-feu afin de bloquer toutes les requêtes vers les domaines autodiscover.TLD. À cette fin, les chercheurs fournissent une liste de domaines dangereux correspondants sur GitHub.
En outre, l’authentification HTTP simple doit être désactivée lors de la configuration d’Exchange afin que les données de connexion ne soient pas envoyées en texte clair. Les administrateurs doivent bien entendu veiller à ce que les employés du bureau à domicile soient également protégés en conséquence.
(fab)