Các chuyên gia an ninh mạng đã phát hiện lỗi cấu hình trong một chức năng quan trọng của máy chủ email Microsoft Exchange có thể bị lợi dụng để thu thập tên miền Windows và thông tin đăng nhập ứng dụng từ hàng triệu người dùng.
Amit Serper(chuyên gia phụ trách phát hiện), cho biết rằng lỗi này nằm trong giao thức Microsoft Autodiscover, một tính năng cho phép ứng dụng email phát hiện máy chủ, cung cấp thông tin đăng nhập và nhận cấu hình tương ứng.
Giao thức này là một thành phần cơ bản của máy chủ mail Exchange bởi nó giúp quản trị viên đảm bảo rằng client sử dụng các cấu hình như SMTP, IMAP, LDAP, WebDAV. Việc cấu hình tự động này giúp các ứng dụng mail truy cập đến một tập hợp URL từ miền email của người đùng:
- https://autodiscover.example.com/autodiscover/autodiscover.xml
- http://autodiscover.example.com/autodiscover/autodiscover.xml
- https://example.com/autodiscover/autodiscover.xml
- http://example.com/autodiscover/autodiscover.xml
Chuyên gia cũng đề cập rằng cơ chế phát hiện tự động này sử dụng đến quy trình dự phòng nếu không tìm thấy máy chủ trong lần đầu tiên:”cơ chế này là thủ phạm của vụ rò rỉ này bởi nó luôn cố gắng giải quyết vấn đề tự động phát hiện”. Serper cho biết.
Kết quả tiếp theo của URL phát hiện tự động là http://autodiscover.com/autodiscover/autodiscover.xml, có nghĩa là chủ sở hữu autodiscover.com sẽ nhận được tất cả các request vào tên miền gốc.
Để thự hiện nghiê cứu, Serper đã đăng ký một số tên miền cấp cao nhất dựa trên tính năng phát hiện tự động, gồm:
Autodiscover.com.br (Braxin)
Autodiscover.com.cn (Trung Quốc)
Autodiscover.com.co (Columbia)
Autodiscover.es (Tây Ban Nha)
Autodiscover.fr (Pháp)
Autodiscover.in (Ấn Độ)
Autodiscover.it (Ý)
Autodiscover.sg (Singapore)
Autodiscover.uk (Vương quốc Anh)
Autodiscover.xyz
Autodiscover.online
Sử dụng honeypots để xác định mức độ nghiêm trọng của vấn đề, Serper nhận thấy rằng các máy chủ đã nhận được hàng trăm yêu cầu, chứa hàng nghìn thông tin đăng nhập của người dùng đang cố gắng thiết lập ứng dụng mail.
Nhà nghiên cứu cũng tìm thấy các thông tin liên quan đến tổ chức bao gồm nhà sản xuất thực phẩm, các tổ chức tài chính, cơ sở hạ tầng quan trọng và các tổ chức công cộng khác. Microsoft đã thừa nhận báo cáo và cho biết các biện pháp đang được thực hiện để xác định nguyên nhân chính xác của lỗ hổng trước khi các sự cố sảy ra.
Để tìm hiểu thêm về các rủi ro bảo mật thông tin, các biến thể của phần mềm độc hại, lỗ hổng bảo mật và công nghệ thông tin, vui lòng truy cập các trang web của Viện An ninh mạng Quốc tế (IICS).
