セキュリティ上の欠陥を主張するための熱気と宣伝

[ad_1]

技術的な詳細の欠如は、研究者のレポートを損なう

ある程度の熱気が、記事の出版に続いて追放された。 ガーディコア研究者アミット・セルパー 同社が、自動検出の欠陥を悪用して、96,671 の Windows ドメイン資格情報の資格情報を収集する方法を説明します。実用的なレベルでは、私はレポートについて偽装しています。

  • Outlook の自動検出テスト機能を使用するか、Outlook に新しいアカウントを追加するときに、Exchange オンラインに対して Outlook for Windows (クリックして実行) を使用して報告された動作を再現できませんでした。Exchange テクノロジの専門家と考える人が、この問題を再現している人は 1 人も見つかりません。
  • 議論の基礎は、次の 2017年にブラックハットアジアで発表された研究論文 これは、サムスンとアップルのiOSメールクライアントの欠陥を説明します。これらの問題は何年も前に修正されました。記事には、"まったく同じ問題" が存在しますが、電子メールクライアント以外のサードパーティ製アプリケーション."これは、マイクロソフトのソフトウェアが関与していないことを意味します。
  • テストに使用される正確な構成と、ドメイン資格情報がキャプチャされたユーザーが使用する脆弱なクライアントの詳細を説明する技術情報の欠如。

これらの関連事実を考えると、自動検出の実装に欠陥がある単一の電子メール クライアント (またはクライアント ファミリ) に関連する問題なのか、自動検出を使用するすべてのクライアントに影響を与える一般的な問題なのかはわかりません。問題が Exchange Server オンプレミスまたは Exchange オンラインに影響を及ぼすかどうかを調査した場合はわかりません。また、Exchange Server の場合、どのバージョン (累積的な更新プログラムを含む) がテストされ、Windows のバージョンが違いをもたらすのでしょうか。

記事は、著者の会社が持っていることを指摘しています 影響を受けるベンダーの一部と責任ある開示プロセスを開始しました。その側面の詳細は、この論文の第二部として発表される予定です。."

からのツイートによると カタリン・チンパヌ、マイクロソフトは、Guardicore が記事を発表したときにのみ、その情報を知ったため、この開示に目がくらんでいた(図1)。

マイクロソフトは、事前に脆弱性について警告を受けていないと失望しています。
図1: マイクロソフトは、事前に脆弱性について警告を受けていないと失望しています

私たちは、誰が犯罪可能な当事者であるかを学ぶために、ガーディコアからの注目を集める宣伝の次のラウンドを待たなければなりません。間違いなく同様の量の双曲線が噴出します。

交換オンライン影響なし

レポートで 「ドメイン資格情報」 と “Microsoft の Exchange サーバー" という用語を使用すると、この作業はオンプレミス サーバーに基づいていると思います。報告された弱点を再現するために使用されるクライアントとサーバーの構成に関する包括的な技術的な詳細がなければ、問題が実用的で理論的な意味の両方で現実であることを証明することは不可能です。

クライアントが自動検出を使用するときに作成されたネットワーク トラフィックを監視する必要があります。報告書は、資格情報が「」マイクロソフトの見通し、モバイル電子メールクライアントや他のアプリケーション、" では、Windows バージョン 2109 (ビルド 14430.20148) の Outlook を使用して何が起こるかを見てみましょう。Outlook プロファイルに新しいアカウントを追加する標準オプションを使用しました。自動検出がアカウントのドメインのサービスを見つけられなかったときに、試行は失敗しました (図 2)。自動検出でドメインが存在しないことを発見した後、何らかのアクションを実行している「バックオフ」アルゴリズムを見ることができる証拠はありません。

自動検出相互作用のフィドラートレースは、失敗を明らかにします
図 2: 自動検出の相互作用の Fiddler トレースは、エラーを明らかにし、バックアップなし

Outlook の自動検出テストを実行する場合も同様です。予期したエラー。

何が起こっているのか

自動検出用の特定の DNS 構成が、脆弱性への扉を開く必要があり、その後、特定のビルドのクライアント (Outlook アドオンを含む) によって公開される可能性があります。サードパーティアプリケーションへの参照は、自動検出を使用する ISV 製品を指します。ほとんどのサードパーティの電子メールクライアントは、ユーザーのメールボックスに接続するために使用する必要がある URL を検出するために自動検出を使用します。単純な事実は、私たちがについての詳細の顕著な欠如のために知らないですGuardicore によって明らかにされたテスト済みの構成。そのすべては、このレポートは単にGuardicoreのCentra製品を強調することを意図していると思います。これ以上、劣らず。

Exchange サーバーをオンプレミスで実行している場合は、自動検出の設定を確認して、これらの設定が次の条件に従っていることを確認する必要があります。 マイクロソフトガイダンス.また、攻撃者がさまざまな Exchange サーバーのバージョンとクライアントを悪用する可能性があるという本当の欠陥が潜んでいる場合に備えて、自動検出を使用するクライアントを確認してください。



[ad_2]

未分類

Posted by admin