研究者は、自動検出の問題はクライアント側であり、交換ではないと言います

研究者は、自動検出の問題はクライアント側であり、交換ではないと言います

興味深く、価値のあるインタビューが利用可能になりました

クラウド アーキテクトは、Microsoft 365 のコピーをカバーするポッドキャストをホストするマイクロソフト MVP のグループです。10月12日、彼らは出版したガーディコア研究者のアミット・セルパーとのインタビューを特集したエピソード56を発表した。 大リークの自動検出、" を説明するレポートユーザーのドメイン外の自動検出ドメインに対してプロトコルが Web 要求を “リーク" させる設計上の欠陥です。" 影響を受けるクライアントに関する情報で更新されたレポート (以下を含む) 多くの Outlook バージョン)は、多くの人に丸く批判され、 自分を含めてが含まれている情報の欠如のため。また、多くの熱狂的な報道がテクニカルプレスに掲載され、そのほとんどはこれがExchangeの欠陥であるという結論に飛びついた。

インタビュー(ユーチューブで利用可能) は聞く価値がある。アミット・セルパーが議論した背景や情報の一部が、より理にかなった議論と対応につながったと思うため、元の報告書に含まれていなかったことは残念です。Serperは、これは時間の制約やその他の理由(例えば) アカマイのガーディコア買収).

再現する超硬度の問題

例えば、Serperは問題が""超ハード」を再現します。Guardicoreは、5ヶ月間に漏洩した資格情報に関する情報を収集しました。Guardicore は、大量の自動検出ドメインを購入し、Web サーバーに割り当て、漏洩した資格情報を持つトラフィックを監視しました (マイクロソフトは、その後 他の自動検出ドメインを買い占め).

問題がどのように起こったかを追跡するために、Serperは 検出ラボ Exchange 2016 (累積的な更新プログラムに関するデータは提供されません) と Outlook 2019 を実行している Windows 10 クライアントを含む AWS。多くの時間のシミュレーションと異なる障害に対する応答を観察したにもかかわらず、問題を再現するための信頼できる方法は現れませんでした。セルパーが観察したように、彼は"再現方法を100%も教えることができません。「彼が気づいたことの1つは、多くの障害が自宅のIPアドレスから来ており、これは自宅からの作業のために問題がより明らかであることを示している可能性があることです。

クライアント側の問題

問題が存在することを否定することはできません。オリジナル 2017年のブラックハットレポート には、サムスンとアップル製のモバイル デバイスが含まれており、どちらも Exchange ActiveSync (EAS) と自動検出のライセンスを使用して、電子メール クライアントが Exchange (オンプレミスおよびオンライン) に接続できるようにしました。Guardicoreの記事は、資格情報がキャプチャされたサムスンのユーザーエージェントの長いリストを指し、これらのデバイスがAndroidとSamsungソフトウェアの古いバージョンを実行していることを観察しています。

Guardicoreはまた、Windows 10からのマイクロソフト独自のメールアプリが混在していることを報告します(EASから構築され、自動検出を使用して接続するため、それほど驚くべきことではありません)。面白いことに、Serperは中国の電子メールアプリが使用するライブラリで、50ドルのバグバウンティ賞と共に「マイクロソフトの問題です」という応答のためだけに問題を見つけると言いました。

来るのを修正しますか?

Serper は、レポートが登場して以来、マイクロソフト セキュリティ レスポンス センター (MSRC) と協力しています。彼は彼らが"だと言います"修正に取り組んでいます。 たぶん、これは自動検出プロトコルへの変更になります。もしそうなら、私は古いクライアントがどのように更新を受け取るのか疑問に思います。他のプロトコル(Exchange Webサービスなど)が関与している場合は、何の言葉もありません(私の元の記事の1つのコメントは、EWSを使用してreproを報告しました)。私たちはしばらく待つ必要があります。

彼自身の入学によって、アミット・サーパーはマイクロソフトの専門家ではありません。彼は、エコシステムの仕組みを理解していないし、プロトコル、ドキュメント、クライアント、実装、および他の部分の質量をナビゲートするためにハードワークと研究に依存しています。彼はそれを言う"この全体が吸う「2017年に他の研究者によって発見された問題を修正する優れた仕事をマイクロソフトが行っていないことは明らかに悩んでいます。問題が 1 つの電子メール クライアントでの不適切な実装によって発生した場合は、他の場所に表示される可能性があります。Microsoft は EAS をモバイル デバイス ベンダーに販売し、その実装がエコシステム全体のセキュリティを損なわないことを確認する責任があります。この大きな、再現が難しくても本物で、調査と是正に値するようです。

概要

要約すると:

  • サーe は、クライアント側の自動検出の実装で修正する必要がある問題です。
  • この問題は、多くの異なるユーザーエージェント(電子メールクライアント)を対象としており、そのうちのいくつかは非常に古い。
  • 問題は再現しにくい。
  • マイクロソフトは、ISV および独自の製品チームと協力して、資格情報が自動検出を通じてエスケープされないようにする必要があります。

Serperが元のレポートで詳細を明らかにしなかったのは本当に残念です。私はそれが多くの努力を要したとは思わない – 多分数時間 – そしてそれは彼が考える「積み重ね」と「泥だらけ」のはるかに少なく、マイクロソフトの従業員やMVPから彼の道を来ただろう。マイクロソフトの正式な対応を待ち、この問題に対処する予定です。




未分類

Posted by admin