Lỗ hổng trên Exchange làm lộ mật khẩu của hàng trăm ngàn email

09:00 | 06/10/2021 | LỖ HỔNG ATTT

Các nhà nghiên cứu bảo mật mới đây đã phát hiện ra hàng trăm nghìn thông tin đăng nhập email, tài khoản và mật khẩu để đăng nhập Active Directory đã bị lộ lọt thông qua một lỗ hổng của tính năng Autodiscover trên Microsoft Exchange.

Lỗ hổng trên Exchange làm lộ mật khẩu của hàng trăm ngàn email

Cụ thể, nhà nghiên cứu bảo mật Amit Serper của Guardicore (Mỹ) đã phát hiện ra một lỗ hổng nghiêm trọng trong tính năng Autodiscover của Microsoft (giao thức cho phép cấu hình tự động tài khoản email chỉ cần địa chỉ và mật khẩu). Lỗ hổng này cho phép các hacker mua tên miền có tên "autodiscover" (ví dụ: autodiscover.com hoặc autodiscover.co.uk) có thể chặn bắt các thông tin đăng nhập emal dưới dạng bản rõ của người dùng khi quản trị viên của họ cấu hình sai.

Sơ lược về lỗ hổng

Điểm yếu mà chuyên gia của Guardicore phát hiện có liên quan đến việc triển khai cụ thể Autodiscover dựa trên giao thức XML POX (hay còn gọi là "XML cũ"), qua đó các ứng dụng trao đổi các tài liệu XML dạng thô bằng các giao thức truyền tiêu chuẩn như HTTP, SMTP, FTP hoặc bằng cách sử dụng các giao thức độc quyền.

Sau khi thêm tài khoản Microsoft Exchange mới vào Outlook thông qua tính năng thiết lập tài khoản tự động, một lời nhắc sẽ xuất hiện và yêu cầu người dùng nhập vào tên đăng nhập và mật khẩu. Khi người dùng thực hiện, Outlook sẽ sử dụng tính năng Autodiscover để tự động cấu hình email. Tính năng này tìm kiếm các thông tin cấu hình trong nội dung XML trên các địa chỉ sau (qua cả HTTP và HTTPS):

• http(s)://autodiscover.example.contoso.com/Autodiscover/Autodiscover.xml
• http(s)://example.contoso.com/Autodiscover/Autodiscover.xml

Khi không thể tìm thấy thông tin cấu hình cần thiết, Outlook sử dụng một cơ chế dự phòng tìm kiếm thông tin ở tên miền cấp cao hơn. Chính thiết kế này là nguyên nhân gây ra lỗ hổng ảnh hưởng đến hàng trăm ngàn người dùng. Trong trường hợp này, bước tiếp theo của Autodiscover sẽ là tìm kiếm /Autodiscover/Autodiscover.xml trên chính contoso.com, cũng như autodiscover.contoso.com. Nếu điều này không thành công, Autodiscover sẽ thử một lần nữa bằng cách gửi thông tin đăng nhập đến autodiscover.com.

Điều này sẽ không phải là vấn đề nếu như Microsoft sở hữu autodiscover.com, nhưng qua kiểm tra thì không phải như vây. Tên miền đó ban đầu được đăng ký vào năm 2002 và hiện thuộc sở hữu của một cá nhân hoặc tổ chức không xác định sử dụng lá chắn bảo mật WHOIS của GoDaddy.

Luồng kiểm tra của tính năng Autodiscover

Báo cáo từ Guardicore

Guardicore đã mua một số miền để chứng minh cho lỗ hổng của tính năng Autodiscover từ ngày 16/4 đến ngày 25/8/2021:

•   autodiscover.com.br
•   autodiscover.com.cn
•   autodiscover.com.co
•   autodiscover.es
•   autodiscover.fr
•   autodiscover.in
•   autodiscover.it
•   autodiscover.sg
•   autodiscover.uk
•   autodiscover.xyz
•   autodiscover.online

Trong 4 tháng, Guardicore đã thu thập được 96.671 địa chỉ email và mật khẩu (đã loại bỏ dữ liệu trùng) ở dạng bản rõ. Những thông tin xác thực này đến từ nhiều tổ chức như các sàn giao dịch, nhà sản xuất, ngân hàng, công ty điện lực,....

Người dùng bị ảnh hưởng sẽ không thể phát hiện ra vì tên miền được mua, ví dụ như autodiscover.xyz đã được cài đặt với một chứng chỉ hợp lệ nên Outlook sẽ không có bất kỳ cảnh báo nào.

Điều tồi tệ ở đây là khi Outlook cung cấp thông tin đăng nhập ở định dạng an toàn hơn như NTLM thì các hacker có thể yêu cầu ứng dụng cung cấp mật khẩu bản rõ bằng cách trả về một mã HTTP 401. Khi đó, Outlook sẽ tự động gửi lại tài khoản và mật khẩu dưới dạng Base64 mà hacker có thể dễ dàng giải mã.

Lời khuyên từ chuyên gia

Hiện chưa có bất kỳ bản vá nào cho lỗ hổng này do Guardicore đã công khai lỗ hổng trước khi báo cáo cho Microsoft. Các nhà cung cấp DNS lớn như Google, Cloudflare,... đã có chính sách để bảo vệ cho người dùng Internet bằng cách thu hồi các tên miền có thể sử dụng để khai thác lỗ hổng này.

Các tổ chức có thể tạm thời ngăn chặn lỗ hổng này bằng cách cấu hình máy chủ DNS để từ chối các tên miền bắt đầu với Autodiscover. Khi đó thì tính năng Autodiscover sẽ báo lỗi và ngừng thực hiện việc cố gắng truy vấn ở tên miền cấp cao hơn. Nhưng cần chú ý tránh chuyển hướng tên miền này về địa chỉ 127.0.0.1 vì bất kỳ ai có quyền truy cập vào máy tính của người dùng có thể tận dụng để đánh cắp mật khẩu của chính người dùng đó.

Đăng Thứ

‹ › ×

Tin liên quan

Hơn 1.900 máy chủ Microsoft Exchange đang bị tấn công bởi các lỗ hổng ProxyShell

10:00 | 27/08/2021

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã đưa ra cảnh báo các lỗ hổng Microsoft Exchange ProxyShell hiện đang bị tin tặc khai thác tích cực kèm theo phát tán ransomware LockFile trên các hệ thống bị xâm nhập. Được biết, các lỗ hổng này đã được phát hành bản vá từ tháng 4 - 5/2021.

Botnet Prometei khai thác lỗ hổng Microsoft Exchange Server chưa được vá

11:00 | 07/05/2021

Tin tặc đang khai thác lỗ hổng ProxyLogon trên Microsoft Exchange Server, biến chúng thành các bot trong mạng botnet tiền điện tử có tên Prometei.

Các lỗ hổng trong hệ quản lý mạng di động tập trung của Nokia và Oracle ảnh hưởng đến mạng di động 4G và 5G

09:00 | 15/10/2021

Một nhóm các nhà nghiên cứu thuộc Telecom Italia Red Team Research (RTR) đã tìm ra ba lỗ hổng thuộc các phần mềm quản lý mạng di động tập trung, gồm 02 lỗ hổng thuộc phần mềm quản lý mạng di động tập trung của Nokia NetAct và 01 lỗ hổng thuộc phần mềm Oracle GlassFish. Theo các chuyên gia đánh giá, các lỗ hổng trên được xác định ảnh hưởng lớn đến việc vận hành và đảm bảo an toàn thông tin đối với việc vận hành của mạng di động 4G và 5G.

Cảnh báo lỗ hổng bảo mật trong máy chủ Microsoft Exchange

11:00 | 14/04/2021

Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ) vừa phát đi cảnh báo về 04 lỗ hổng bảo mật nghiêm trọng: CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483 trong các máy chủ thư điện tử sử dụng Microsoft Exchange.

Lỗ hổng nghiêm trọng trong Experion Process Knowledge System cho phép tin tặc làm gián đoạn quy trình công nghiệp

09:00 | 13/10/2021

Sản phẩm hệ thống điều khiển phân tán (DCS) Experion Process Knowledge System được cung cấp bởi Honeywell tồn tại nhiều lỗ hổng bảo mật, có thể cho phép tin tặc làm gián đoạn các quy trình công nghiệp.

Tin cùng chuyên mục

Lỗ hổng glibc cho phép tin tặc chiếm quyền root trên các bản phân phối chính của Linux

14:00 | 19/02/2024

Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).

Các tài khoản X của Netgear, Hyundai bị tin tặc tấn công

14:00 | 16/01/2024

Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.

Tổng quan về mã độc Pegasus

07:00 | 15/01/2024

Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.

Tập đoàn bán lẻ ô tô hàng đầu ở Australia bị tấn công mạng

08:00 | 08/01/2024

Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.