Un nuovo problema rilevato nel protocollo Autodiscover di Microsoft potrebbe comportare alla perdita di moltissime e-mail e password, ma ciò che preoccupa è il fatto che non esista un aggiornamento disponibile in grado di risolvere questo problema.
La falla è stata scoperta da Guardicore, che offre servizi di sicurezza per data center e cloud, e pare che sia prettamente legata al protocollo Autodiscover di Microsoft. Tramite questo sistema è possibile configurare un client Exchange, come se fosse un account di Outlook, usando l’e-mail e la password.
Ma è qui che sta la vulnerabilità: acquistando dei domini chiamati “autodiscover.com” o “autodiscover.it” si potrebbe entrare in possesso delle credenziali di chiunque, e tutto questo è possibile perché gli account utilizzano il protocollo Autodiscover di Microsoft che, tecnicamente, dovrebbe limitarsi soltanto a configurare le caselle di posta.
Il funzionamento di Autodiscover è prettamente meccanico; ci chiede di inserire indirizzo e-mail e password, mentre il sistema automatizzato pensa a compilare le altre diciture come il POP3 o l’IMAP4, ovvero dei dati di accesso al server che non vengono richiesti poiché se ne occupa proprio lui.
LEGGI ANCHE: Google foto implementerà la cartella “foto proibite” su tutti i telefoni Android
Tuttavia, Guardicore per approfondire la questione della falla ha voluto comprare undici domini chiamati in modi differenti, come “autodiscover.fr” per esempio. Da ciò ha scoperto, inoltre, che dal 16 aprile fino al 25 agosto 2021 sono stati in grado di ottenere almeno più di 370.000 credenziali, di cui 97.000 avuti grazie a client di posta elettronica mobile o da altre applicazioni che si interfacciano con il server Exchange di Microsoft.
Come avviene il problema
La vulnerabilità si manifesta nel momento in cui il sistema cerca di realizzare un URL basandosi sulle informazioni in suo possesso. Inizia con il seguente formato, che dovrebbe essere quello standard:
https://autodiscover.esempio.com/Autodiscover/Autodiscover.xml
Se l’URL non risponde, Autodiscover continua e prosegue in questo modo:
https://esempio.com/Autodiscover/Autodiscover.xml
E se nemmeno questo URL è sufficiente, il sistema sale di troppo e passa a cercare l’indirizzo così:
http://autodiscover.com/Autodiscover/ Autodiscover.xml
Come potete notare si connette ad un dominio chiamato “Autodiscover.com“, e visto che non appartiene a Microsoft chi lo usa ottiene facilmente sia e-mail che la password dell’utente. Cercando questo indirizzo in WHOIS scopriremo che appartiene dal 2002 a qualcuno di cui non si conosce l’identità.
Per quanto non sia certo, Guardicore pensa che la maggior parte delle credenziali siano dati errati e presenti sui domini fasulli, dunque è possibile che il server li mantenga pur essendo sbagliati. Ma è anche vero che si tratta comunque sia di una falla che dà vita a dei siti inesistenti, e tutto ciò a causa di Autodiscover.
LEGGI ANCHE: Apple sta collaborando con LG? Sembrerebbe di sì, tutto per produrre uno smartphone pieghevole
Jeff Jones, il Direttore delle Comunicazioni di Microsoft, ha ribadito che attualmente non esiste una patch in merito. Tuttavia, Guardicore afferma che sia possibile rifiutare le richieste DNS per impedire ad Autodiscover di divulgare le proprie credenziali. Per farlo basterà negare le autorizzazioni al protocollo, il quale, non avendo il permesso, non sarà in grado di agire.