НКЦКИ предупреждает пользователей Microsoft Exchange Server об угрозе раскрытия учетных данных

НКЦКИ предупреждает пользователей Microsoft Exchange Server об угрозе раскрытия учетных данных

НКЦКИ предупреждает пользователей Microsoft Exchange Server об угрозе раскрытия учетных данных

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) уведомляет об актуальной угрозе раскрытия учетных данных пользователей при использовании службы Autodiscover в Microsoft Exchange Server.

Служба Autodiscover предназначена для упрощения процесса настройки почтовых клиентов и последующего подключения пользователей организации к функциям Exchange посредством ввода адреса электронной почты и пароля без необходимости дополнительных настроек. В ходе своей работы почтовый клиент попытается пройти аутентификацию по различным URL-адресам службы Autodiscover и получить необходимые настройки. При работе указанного механизма службе Autodiscover автоматически будут переданы учетные данные пользователя.

В открытых источниках имеются сведения о наличии средств, которые позволяют обойти механизмы NTLM и Oauth и понизить метод аутентификации до уровня простой проверки подлинности пользователя. В результате учетные данные пользователя будут переданы в открытом виде.

НКЦКИ рекомендует принять следующие меры по нейтрализации угрозы:

  1. Для организаций, использующих Microsoft Exchange, необходимо заблокировать доменное имя Autodiscover.[TLD] на брандмауэре или DNS-сервере, чтобы устройства не могли подключиться к нему.
  2. Отключить для пользователей возможность базовой аутентификации в почтовых клиентах, так как при ее использовании учетные данные передаются в открытом виде.

Скачать уведомление НКЦКИ в формате PDF: