Vulnerabilità di Autodiscover: scoperto bug in Microsoft Exchange

È stata scoperta da Guardicore una grave vulnerabilità nel servizio Autodiscover di Microsoft Exchange

Questo bug viene sfruttato per raccogliere migliaia di credenziali utente. Microsoft ha avviato le indagini sul caso, affermando però di non aver ricevuto alcuna segnalazione prima della divulgazione pubblica.

Mail e password inviate a server sconosciuti

Autodiscover è la funzionalità utilizzata da Microsoft per semplificare la configurazione dei client di posta elettronica come Outlook. Quando un utente inserisce le sue credenziali di acceso, il client tenta di concludere la configurazione, cercando l’indirizzo IP dei server e altre impostazioni. Ciò viene effettuato utilizzando URL derivate dal dominio dell’indirizzo email.

Per esempio, con questo indirizzo mail nome@example.com, il client proverà ad effettuare la connessione ai seguenti indirizzi:

• https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
• http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
• https://example.com/Autodiscover/Autodiscover.xml
• http://example.com/Autodiscover/Autodiscover.xml

In mancanza di risposta dal server, il client utilizzerà il dominio Autodiscover (ad esempio http://Autodiscover.com/Autodiscover/Autodiscover.xml). Guardicore ha acquistato 11 domini, tra cui Autodiscover.it, assegnandoli ad un web server. L’azienda ha così scoperto che il bug permette di ricevere migliaia di credenziali. Nel periodo tra aprile e agosto 2021 sono state raccolte quasi 97.000 credenziali inviate da Outlook e altri client che usano Microsoft Exchange.

Per cercare di arginare il problema velocemente prima che Microsoft rilasci una patch risolutiva, Guardicore ha messo in campo alcune soluzioni provvisorie come il blocco dei domini Autodiscover nel firewall.