Ogni nuova versione di Outlook introduce un nuovo capriccio. Con l'uscita della versione 2013 suscitò scalpore l'impossibilità di salvare la propria posta in uscita IMAP nella propria cartella Sent. Quella che sembrava essere una normalità, fu rimossa. I più ingenui pensarono ad un restyling, i più scaltri videro un'operazione di marketing mirata ad indebolire l'utilizzo di protocolli standard a favore di MAPI ed Exchange.
Ma l'ultima genialata della versione 2016 sembra essere pensata dal peggior "markettaro" di caracas: l'autodiscover.
Cos'è e come funziona l'autodiscover
L'autodiscover è una funzionalità in grado di velocizzare la configurazione di una casella exchange. Lavora cercando un record DNS di tipo autodiscover.dominio.ext, che a sua volta è un rimando verso l'MTA in grado di fornire, dopo autenticazione, tutti i dati di configurazione.
Pericoli
E' evidente che la funzionalità autodiscover pone gravissimi problemi di sicurezza. La tendenza degli utimi anni è quella di anteporre davanti ai propri mailserver dei frontend (antispam, antivirus, etc.) in grado di assorbire gli attacchi e filtrare le email con lo scopo primario di celare il vero MTA e renderlo invisibile. L'autodiscover fa l'esatto contrario, a fronte di una facilitazione, grida ai quattro venti dove sitrova l'MTA reale.
Ok, disabilitiamolo
No. Non si può. Devi fare un complesso pasticcio tra il file hosts per imbrogliare il client e credere che stia realmente contattando il record dns. Sostanzialmente sei costretto ad usarlo dalla versione 2016 di outlook.
Un paio di esercizi
Esercizio 1: scoprire l'MTA reale di un dominio, saltando tutti i frontend antispam.
Si tratta di un dominio reale di una delle aziende finanziarie italiane più importanti e più sotto attacco (quindi ci aspettiamo attenzione massima in ambito security):
1. Vediamo il record MX, perfetto, questo è il cluster di frontend che riceve la posta, la filtra e la manda all'MTA reale, celandolo. Perfetto.
2. Scoprire l'ip dell'MTA reale sarebbe fantastico, ci consentirebbe di saltare ogni controllo. Facile con il discover, tanto quanto fare una query dns.
Oltretutto abbiamo scoperto che hanno un sistema exchange e utilizzano già degli outlook 2016. Informazioni assolutamente non banali per chi vuole muovere degli attacchi. E questo in maniera del tutto silente, con delle semplici query dns.
Esercizio 2: Da quando ho iniziato l'articolo, ho creato un record A fingendo un autodiscover, mettendoci un server honeypot in ascolto con uno script in grado di loggare ogni IP che richiedeva informazioni. In meno di un'ora ben 4 scanner hanno tentato di catturare informazioni cercando di accedere al server di discover.
E non vi è modo di sapere quanti si sono fermati solo alla query DNS. Quindi gli attacchi già ci sono, gli scanner già ci sono e stanno già girando incessantemente. A voi le conclusioni. Non era meglio inserire il nome del server di posta in arrivo e quello in uscita come si è sempre fatto? Era davvero necessario?
Di per se l'idea non è male, ma è incredibile che questa debba essere imposta senza possibilità di replica. La sicurezza informatica è un equilibrio continuo tra la comodità e la complessità che vanno a favore o a discapito del livello di sicurezza. Ma lasciamo che gli EDP decidano autonomanente ed in piena consapevolezza dove posizionare l'asticella. Perchè imporre una facilitazione che ha così tanti lati negativi?
In questo articolo non abbiamo parlato della messa in sicurezza supplementare del server MTA, magari impedendo che accetti connessioni se non dal suo frontend. Ma non abbiamo nemmeno parlato del disastro che la compromissione della paginetta web di autenticazione dell'autodiscover comporterebbe (tutte le credenziali di dominio AD raccolte in un batter d'occhio)... Insomma, non ci siamo spinti oltre, ma tanto basta e avanza.
Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.
Discaimer: Ogni articolo di questo blog è stato integralmente scritto dall'autore. Il contenuto è completamente originale e la riproduzione è vietata salvo autorizzazione.
