Miles de contraseñas de empleados y ejecutivos de bancos de inversiones, plantas de energía y hasta compañías de envío se estarían filtrando. Una característica en los correos electrónicos de Windows Exchange presenta un error en su diseño de gestión de protocolos que estaría causando una grave vulneración a la seguridad de sus usuarios.
La característica en cuestión es autodiscover, una propiedad del popular software Microsoft Exchange. Este programa es recurrido por miles de compañías para gestionar sus propios servidores de correo electrónico, disponiendo de solo la dirección de email y contraseña del empleado para configurar aplicaciones en teléfonos o computadoras.
En algunos casos, las aplicaciones rastrearán archivos en el dominio de la compañía donde la aplicación sabe que están localizados. Pero en caso de no conseguir el archivo, la app reportará un error para luego buscar en otro lugar dentro del mismo dominio. Normalmente, cuando la aplicación falla en encontrar un archivo esta dejará de intentarlo y la consecuencia será simplemente un inconveniente para el usuario.
Sin embargo, otras aplicaciones intentan comunicarse con un nombre de dominio que no le pertenece a la compañía con la que está configurada. Es como si un repartidor entregara tu pizza en el departamento de al lado en vez del tuyo, solo que en este caso se trata de los correos electrónicos y contraseñas de una compañía.
Por ejemplo, el dominio empresa.com decide buscar el archivo de configuración dentro autodiscover.com, lo que le daría acceso a cualquier persona con ese nombre de dominio a toda contraseña o dirección de correo electrónico que se haya enviado por equivocación del autodiscover de Microsoft Exchange.
Durante años distintas firmas de ciberseguridad han advertido sobre los riesgos de vulnerabilidad de las aplicaciones de correos electrónicos, señalando que múltiples errores en sus diseños comprometerían las credenciales de compañías. Muchas aplicaciones corrigieron y fortificaron su seguridad posterior a los resultados de investigaciones, pero la situación de Microsoft Exchange demuestra que los problemas no están del todo solventados.
Guardicore, una importante firma de ciberseguridad, se hizo con algunos de los dominios de autodiscover de nivel más alto para interpretar las peticiones de filtrado. Durante cuatro meses la compañía identificó 340.000 credenciales de correo que llegaron a los dominios autodiscover.uk y autodiscover.fr.
Los dominios trabajados demostraron tener credenciales expuestas de compañías del sector alimenticio, desarrolladores inmobiliarios e inclusive compañías chinas que actualmente comercian sus acciones de forma pública en bolsas de valores. Desarrolladores de estas aplicaciones emprenden correcciones importantes a partir de esta investigación.
