Programmatiefout in Microsoft Autodiscover lekt webverzoeken

microsoft

Een programmatiefout in Microsoft Autodiscover Protocol werd ontdekt. Dit maakt het mogelijk webverzoeken van verschillende bedrijven te onderscheppen. Op dit moment heeft Windows nog geen oplossing voor het probleem.  

De mailserver van Microsoft Exchange wisselt net iets te graag gegevens uit. Amit Serper van Guardicore, een bedrijf dat bescherming biedt tegen ransomware-aanvallen, ontdekte het probleem.

Het probleem bevindt zich bij de Microsoft Autodiscover Protocol. Gebruikers kunnen met deze functie applicaties eenvoudig verbinden met de Exchange-server. Dit is bijvoorbeeld nodig als een nieuw Exchange-account aan Outlook wordt verbonden. De gebruiker moet enkel een naam, mailadres en wachtwoord ingeven en de rest gebeurt vanzelf.

Achter de schermen

Voor de gebruiker zijn er niet veel stappen te doorlopen, Outlook zal zelf via Autodiscover de nodige configuratiedata binnenhalen om een verbinding met de Exchange-server op te zetten. Deze configuratiedata haalt de e-mailservice op door een ketting van URL’s te sturen in een vast formaat. Komt er geen signaal terug, dan wordt Autodiscover in het zaakje betrokken. Er wordt in dat geval een ‘back-off’-algoritme gebruikt die Autodiscover gebruikt met een topleveldomein.

lees ook

Microsoft Office krijgt redesign en testversie voor Windows 11

De redenen waarom er geen antwoord op de URL’s komt, varieert. Dit kan veroorzaakt worden door een misconfiguratie in Exchange of omdat geen toegang wordt gegeven tot de benodigde data.  

Test door Guardicore

Serper vond verschillende domeinnamen waarin Autodiscover voorkwam. Daarop besloot hij honeypot-servers op te zetten. Hiervoor kocht Guardicore verschillende domeinen met een topleveldomeinnaam waarin Autodiscover is opgenomen. Het opzet slaagde en de computersystemen ontvingen honderden webverzoeken per dag met duizenden gegevens van gebruikers, in het proces een verbinding op te zetten.

In veilige omstandigheden zouden deze webverzoeken enkel binnen het gebruikersdomein blijven. De programmatiefout zorgt er echter voor dat webverzoeken naar Autodiscoverdomeinen worden gestuurd in hetzelfde topleveldomein, maar buiten het gebruikersdomein.

Tussen april en augustus stonden de honeypot-servers opgesteld en werden 372.072 Windowsdomein-verzoeken en 96.671 unieke verzoeken onderschept. Deze behoorden onder andere toe aan banken, logistieke bedrijven en bedrijven in de voedselindustrie.

Microsoft niet ingelicht

Microsoft zegt zelf geen waarschuwing te hebben ontvangen van het probleem, voordat Serper het publiekelijk maakte.

Meteen ook een nieuw probleem dat opduikt voor Microsoft. Onlangs werd nog duidelijk dat Exchange-kwetsbaarheden nog steeds het doelwit vormen voor ransomware. Hoewel Microsoft al verschillende oplossingen aanbiedt voor het probleem, blijven cyberaanvallers de kwetsbaarheden uitbuiten. Exchange-gebruikers zullen zelf de oplossingen moeten benutten om de problemen op te lossen.  

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.