Interessant en waardevol interview nu beschikbaar
The Cloud Architects is een groep Microsoft MVP’s die een podcast hosten met Microsoft 365-kopieën. Op 12 oktober publiceerden ze aflevering 56 met een interview met Amit Serper, de Guardicore-onderzoeker die publiceerde: Het grote lek automatisch ontdekken, een rapport dat een “een ontwerpfout waardoor het protocol webverzoeken “lekt” naar Autodiscover-domeinen buiten het domein van de gebruiker.Het rapport, dat is bijgewerkt met informatie over getroffen klanten (inclusief veel Outlook-versies), werd door velen, waaronder ikzelf, ronduit bekritiseerd vanwege het gebrek aan informatie die het bevatte. Het veroorzaakte ook een hoop koortsachtige berichtgeving in de technische pers, waarvan de meeste tot de conclusie kwamen dat dit een fout in Exchange was.
Het interview (beschikbaar op YouTube) is het luisteren waard. Het is jammer dat een deel van de achtergrond en informatie die door Amit Serper werd besproken niet in het oorspronkelijke rapport was opgenomen, omdat ik denk dat dit tot een meer beredeneerde discussie en reactie zou hebben geleid. Serper zegt dat dit mogelijk was vanwege tijdgebrek en andere redenen (zoals Akamai’s overname van Guardicore). Gezien de tijd die nodig is om een paar extra alinea’s aan het rapport toe te voegen, ben ik daar niet zo zeker van.
Supermoeilijk probleem om te reproduceren
Serper onthulde bijvoorbeeld dat het probleem is “Super hard” te reproduceren. Guardicore verzamelde de informatie over gelekte inloggegevens gedurende vijf maanden, wat een hoop werk is. Guardicore kocht een aantal Autodiscover-domeinen en wees ze toe aan een webserver en zag het verkeer met gelekte inloggegevens binnenkomen (Microsoft heeft sindsdien andere Autodiscover-domeinen gekocht).
Om te proberen te achterhalen hoe het probleem is ontstaan, heeft Serper een laboratorium gebouwd met behulp van DetectieLab op AWS met Exchange 2016 (geen gegevens gegeven over cumulatieve updates) en Windows 10-clients met Outlook 2019. Ondanks vele uren simulatie en observatie van reacties op verschillende storingen, kwam er geen betrouwbare methode naar voren om het probleem te reproduceren. Zoals Serper opmerkte, hij “kan je niet 100% van de tijd vertellen hoe je moet reproduceren.Wat hem wel opviel, is dat veel storingen afkomstig zijn van IP-adressen thuis, wat erop kan wijzen dat het probleem duidelijker is vanwege Thuiswerken.
Probleem aan de clientzijde
Je kunt niet ontkennen dat er een probleem bestaat, en het is aan de clientzijde. Het origineel Black Hat-rapport uit 2017 Het betrof mobiele apparaten van Samsung en Apple, die beide een licentie hebben voor Exchange ActiveSync (EAS) en Autodiscover om het voor hun e-mailclients mogelijk te maken verbinding te maken met Exchange (on-premises en online). Guardicore’s artikel verwijst naar een lange lijst van Samsung-gebruikersagenten wiens inloggegevens zijn vastgelegd en merkt op dat deze apparaten oude versies van Android en Samsung-software gebruiken. Helaas is er geen analyse van de gegevens beschikbaar om te laten zien hoeveel gevallen van inloggegevens per user-agent zijn vastgelegd, dus we weten niet of het probleem in de loop van de tijd is afgenomen, aangezien leveranciers zoals Samsung en Apple bekende problemen in hun code hebben opgelost.
Guardicore meldt ook dat Microsoft’s eigen Mail-app van Windows 10 in de mix zit (niet erg verrassend omdat het is gebouwd vanuit EAS en Autodiscover gebruikt om verbinding te maken). Grappig genoeg vertelde Serper over het vinden van een probleem in een bibliotheek die door een Chinese e-mailapp wordt gebruikt, alleen met als antwoord “het is een Microsoft-probleem”, samen met een bugbounty-award van $ 50.
Fix Komt eraan?
Serper werkt sinds het verschijnen van zijn rapport samen met het Microsoft Security Response Center (MSRC). Hij zegt dat ze “werken aan een oplossing.” Misschien is dit een wijziging in het Autodiscover-protocol. Als dat zo is, vraag ik me af hoe oudere clients updates zullen ontvangen. Er is geen woord of er andere protocollen (zoals Exchange Web Services) bij betrokken zijn (een opmerking op mijn oorspronkelijke artikel meldde een repro met EWS). We zullen moeten afwachten.
Naar eigen zeggen is Amit Serper geen Microsoft-expert. Hij begrijpt niet hoe het ecosysteem werkt en vertrouwt op hard werken en onderzoek om door de massa protocollen, documentatie, clients, implementaties en andere onderdelen te navigeren. Hij zegt dat “dit hele ding is klote” en is duidelijk geïrriteerd dat Microsoft een probleem dat in 2017 door andere onderzoekers werd ontdekt, niet beter heeft opgelost. Als het probleem is ontstaan door een slechte implementatie in één e-mailclient, zal het waarschijnlijk ergens anders verschijnen. Microsoft heeft EAS verkocht aan leveranciers van mobiele apparaten en heeft de verantwoordelijkheid ervoor te zorgen dat hun implementaties de beveiliging van het algehele ecosysteem niet in gevaar brengen. Het lijkt zo groot, hoe moeilijk het ook te reproduceren is, het is echt en verdient onderzoek en rectificatie.
Samenvatting
Samengevat:
- Er is een probleem dat moet worden opgelost met implementaties van Autodiscover aan de clientzijde.
- Het probleem heeft betrekking op veel verschillende user agents (e-mailclients), waarvan sommige erg oud zijn.
- Het probleem is moeilijk te reproduceren.
- Microsoft moet samenwerken met ISV’s en zijn eigen productteams om ervoor te zorgen dat referenties niet kunnen ontsnappen via Autodiscover.
Het is echt jammer dat Serper niet meer details heeft onthuld in het oorspronkelijke rapport. Ik denk niet dat het veel moeite zou hebben gekost – misschien een paar uur – en dat het zou hebben geresulteerd in veel minder van het “opstapelen” en “moddergooien” dat volgens hem op zijn pad kwam van Microsoft-medewerkers en MVP’s. We wachten nu op het formele antwoord van Microsoft en zijn van plan het probleem aan te pakken.
creditSource link