Outlook по умолчанию предлагает воспользоваться автоматической настройкой параметров почтового сервера после ввода имени пользователя, почтового адреса и пароля. Для этого производится запрос по четырем стандартным URL типа autodiscover.example.com/autodiscover/autodiscover.xml, если почтовый адрес находится на домене example.com. При отсутствии ответа по такому URL происходит то, что исследователь назвал 'fail up', то есть URL сокращается, пока не превращается, в данном случае, в autodiscover.com. Исследователь нашел и зарегистрировал на себя 11 подобных доменных имен в разных TLD, и за полгода собрал почти сто тысяч уникальных пар e-mail + пароль.
При регистрации упомянутого выше autodiscover.es эксперт смог перенаправить на себя все запросы, на которые не ответил настоящий почтовый сервер, со всех доменов в зоне .es. Что еще хуже, данные отправляются без дополнительных проверок, а если сервер возвращает ошибку HTTP 401, происходит попытка отправить информацию открытым текстом. Далее исследователь прикрутил к тестовым серверам сертификат Letsencrypt, что избавило от cообщения о недоверенном сертификате на стороне клиента. В результате пользователю, попавшему на чужой домен случайно, предлагается еще раз ввести логин и пароль, чтобы эти данные уже точно утекли.
Риск от утечки корпоративного логина и пароля огромен. С апреля по август 2021 года Амит Серпер смог собрать данные множества компаний, начиная от магазинов и заканчивая банками и электростанциями. В качестве меры по снижению риска на компьютерах сотрудников исследователь предлагает заблокировать доступ ко всем возможным «неправильным» доменам autodiscover. Список доменов (более 9000 наименований) .
Интересна реакция специалистов Microsoft. В официальном заявлении они сообщили, что предпринимают все возможные меры для защиты пользователей, и выразили сожаление, что исследователь не связался с ними до публикации. Под «мерами», судя по всему, имеется в виду попытка зарегистрировать на Microsoft максимальное количество свободных доменов: по состоянию на 24 сентября издание Bleeping Computer регистрацию как минимум 68 доменов из списка. Что же касается «не связались до публикации» — в 2017 году данная уязвимость уже была другими исследователями, а презентация по ней сделана на конференции Black Hat Asia. В результате компания Microsoft получила порцию обвинений в том, что знала о проблеме и ничего не делала. По данным Bleeping Computer, о дыре в Autodiscover неоднократно сообщали в Microsoft — и получали ответ, что «это не является багом».
Что еще произошло:
Еще одна дискуссия о неидеальной обработке сообщений об уязвимостях произошла на прошлой неделе на Хабре. Исследователь данные о трех уязвимостях в iOS, не дождавшись ответа и исправлений от Apple, по истечении принятых в индустрии сроков ожидания перед публикацией отчета.
Опубликованы критической уязвимости в веб-камерах производства Hikvision. RCE позволяет получить полный контроль над устройствами с прошивкой, выпущенной как минимум с 2016 года и до июня 2021 года. Патч подготовлен в августе и доступен на серверах поддержки производителя.
Компания Google внеочередную версию браузера Chrome, чтобы закрыть активно эксплуатируемую уязвимость (CVE-2021-37973, выполнение произвольного кода в системе).
Критическая уязвимость в IOS XE позволяет выполнять на сетевых решениях компании, включая контроллеры беспроводных сетей и устройства SD-WAN.
