นักวิจัยไล่จดโดเมน Autodiscover พบไคลเอนต์อีเมลส่งรหัสผ่าน Exchange เข้ามาจำนวนมาก

by lew
23 September 2021 - 02:26

Amit Serper จากบริษัทความปลอดภัย Guardicore รายงานถึงปัญหาของโปรโตคอล Autodiscover ที่ใช้เชื่อมต่อเข้าไปยังเซิร์ฟเวอร์ Exchange เนื่องจากไคลเอนต์พยายามคาดเดาโดเมนที่ใช้ล็อกอิน

ตัวอย่างเช่นเมื่อผู้ใช้ที่ใช้อีเมล john.doe@example.com อีเมลไคลเอนต์จะพยายามล็อกอินทางโดเมน autodiscover.example.com แล้วถอยไปยัง example.com จากนั้นจะถอยไปยัง autodiscover.com อีกครั้ง ทำให้ผู้ที่ถือโดเมน autodiscover.com ได้ชื่อผู้ใช้และรหัสผ่านไป

Guardicore จดโดเมน autodiscover ในหลาย TLD ทั้ง .br, .com.cn, .com.co, .es, .fr, .in, .it, .sg, .uk, .xyz, .online จากนั้นตั้งเซิร์ฟเวอร์ปลอมตัวเป็นเหมือนเซิร์ฟเวอร์ Exchange เพื่อหลอกให้ไคลเอนต์ส่งข้อมูลล็อกอินเข้ามา พบว่ามีความพยายามล็อกอินเข้ามาถึง 372,072 ครั้งในช่วงเวลาสี่เดือนที่เปิดเซิร์ฟเวอร์เหล่านี้รอไว้ โดยรวมเป็นรหัสผ่านสำหรับผู้ใช้รวม 96,671 บัญชี

ไมโครซอฟท์ระบุว่า Guardicore ไม่ได้แจ้งผลการทดลองล่วงหน้าทำให้ไม่สามารถจัดการปัญหาได้ทันที และตอนนี้กำลังสอบสวนช่องโหว่นี้

ที่มา - Guardicore, The Record

กระบวนการล็อกอินผ่านทาง Autodiscover ของ Exchange ภาพจาก Guardicore

Blognone Jobs Premium