The ol’ switcheroo ?
マイクロソフトが自社が展開するサービスの設定変更に関する案内を行いました。
こんな内容でした。
- 案内の対象サービス:Exchange Online
これは、マイクロソフトが提供する法人向けクラウド型のメールサービスです。 - 変更内容:すべてのテナントのすべてのプロトコルで基本認証をオフにする
使用状況に関係なく、すべてのテナントで基本認証を永続的に無効にすることを発表します、とのことです。 - 変更時期:2022年10月1日以降
- 変更目的:Exchange Onlineユーザーを保護するため
この変更は、Exchange Onlineユーザーを保護するためということで案内されています。
しかし、その決定を実施することとなった元の原因というか事象については、案内されていません。
これとは別に、The ol’ switcherooと呼ばれる攻撃に関するレポートがGuardicoreから公表されています。
この攻撃は、Exchangeクライアントに基本認証のネゴシエーションを強制するものとなっています。
クライアントの認証スキームを安全なもの(OAuth、NTLM)から、資格情報がクリアテキストで送信されるHTTP基本認証にダウングレードする攻撃です。
今回のマイクロソフトの案内は、この攻撃に対応するためのものとして公開されたものなのではないかと推測されます。
おそらくこの攻撃は、いわゆる実装上のバグなどに相当するものというよりも、ソフトウェアの仕様に類する部分に関係して成り立つものなのだと考えられます。
そういったことで、この攻撃に対応するためになにかの実装を変更するという方法ではなく、認証機構のフォールバック先を無効にすることで対応しようとしたものだと考えられます。
フォールバックする類の機能というものは、この例に限らず色々なところに実装されていると思います。
大抵の場合、それは利便性のために有効なものなのだと思われます。
実装上のバグはその存在さえ確認できれば、修正することは比較的容易な場合が多いと思います。
しかし、仕様上の問題は、その存在が認識できたとしても、修正が容易ではない場合が多いと思われます。
何においても同じかもしれませんが、上流工程での綿密な検討が重要なのだろうなと考えさせられます。
参考記事(外部リンク):Microsoft will disable Basic Auth in Exchange Online in
October 2022
www.bleepingcomputer.com/news/microsoft/microsoft-will-disable-basic-auth-in-exchange-online-in-october-2022/参考記事(外部リンク):Autodiscovering the Great Leak
www.guardicore.com/labs/autodiscovering-the-great-leak/
