Microsoft Exchange中的Autodiscover漏洞泄露大量凭证


根据新的Guardicore研究,Microsoft Exchange中使用的协议Autodiscover存在漏洞,该漏洞导致各种Windows和Microsoft登录凭证遭泄漏。

Exchange使用Autodiscover来自动配置客户端应用程序,例如Microsoft Outlook。企业安全供应商Guardicore的安全研究区域副总裁Amit Serper在该公司专门针对该漏洞的帖子中写道,Autodiscover存在一个设计缺陷,导致该协议将Web请求‘泄漏’到用户域外的Autodiscover域,但仍在同一顶级域 (TLD) 中,例如 Autodiscover.com。

Guardicore研究人员随后测试了该漏洞。

Serper在该博客文章中写道:“Guardicore Labs购得多个带有 TLD 后缀的 Autodiscover 域,并将它们设置为定向到我们控制的Web服务器。此后不久,我们检测到大量泄漏的Windows域凭证到达我们服务器。”

该供应商购买的域名示例包括 Autodiscover.com.br、Autodiscover.com.cn和 Autodiscover.com.co;该帖子包含有关域名如何被滥用的大量技术细节。

Serper写道,从4月16日到8月25日,Guardicore利用该漏洞捕获 372,072 个 Windows 域凭据和 96,671 个从各种应用程序泄漏的独特凭据,例如 Microsoft Outlook、移动电子邮件客户端和其他与 Microsoft Exchange 服务器连接的应用程序。

Autodiscover漏洞并不是一个新问题。Serper表示,Shape Security于 2017 年首次披露了该核心漏洞,并于当年在 Black Hat Asia 上展示了调查结果。当时,CVE-2016-9940 和 CVE-2017-2414 漏洞被发现仅影响移动设备上的电子邮件客户端。Serper写道:“Shape Security 披露的漏洞已得到修补,但是,在2021年我们面临更大的威胁,更多第三方应用程序面临相同的问题。”

该文章提出了两种缓解措施:一种针对公众,一种针对软件开发人员和供应商。

对于使用Exchange的普通公众,Guardicore 建议用户在其防火墙中阻止Autodiscover域。 Serper 还表示,在配置 Exchange 设置时,用户应该“确保禁用对基本身份验证的支持”。Serper 继续说道,“使用 HTTP 基本身份验证相当于通过网络以明文形式发送密码。”

与此同时,开发人员应该确保他们不会让Autodiscover协议蔓延。

Serper称:“请确保在你的产品中部署Autodiscover协议时,即Autodiscover等域永远不应该由‘退避’算法构建。”

漏洞披露纠纷

微软批评 Guardicore 在发布其研究之前没有遵循漏洞披露流程。这家科技巨头与 SearchSecurity分享了以下声明,来自微软高级总监Jeff Jones。

Jones 写到:“我们正在积极调查,并将采取适当措施保护客户。我们致力于协调漏洞披露,这是一种行业标准的协作方法,可在问题公开之前为客户降低不必要的风险。不幸的是,在研究人员营销团队向媒体展示此问题之前并未向我们报告此问题。”

Serper 在周三晚上的一条推文中回应了这一声明,该声明已发送给其他媒体。

他表示:“我的报告清楚地引用了2017 年提出这个问题的研究:请参阅 2017 年的这篇论文,正如 Black Hat Asia 2017 中提出的那样。这不是0day,这已经过了1460天,至少。微软不可能不知道这个漏洞。”

ImpulsiveDLLHijack:一款基于C#实现的DLL劫持技术研究工具

关于ImpulsiveDLLHijackImpulsiveDLLHijack是一款功能强大的DLL劫持技术安全研究工具,该工具基于C#开发实现,可以帮助广大研究人员以自动化的方式扫描、发现并利用目标设备二进制文件中的DLL安全问题,并实现DLL劫持。红队研究人...
服务器安全安全工具dll劫持技术

开发环境下如何进行安全加固呢

由于公司机房和办公环境是在一起的,默认情况下公司出口IP是禁止80/443访问【运营商侧有限制】。目前采用的是阿里云进行中转,即将开发环境的域名解析到阿里云,然后通过Nginx反向代理到公司出口非80端口。开发环境部分接口涉及到第三方回调和校验,所以完全禁止开...
服务器安全安全测试开发

在服务器应用虚拟化中发现价值

一些IT专业人员可以看到从服务器操作系统抽象应用程序的潜力。现在,这项技术刚刚起步。在服务器虚拟化市场中出现了可以轻松应用程序安装和移动性的可能性,从服务器操作系统抽象应用程序的产品。但是现在,“潜力”是一个操作词汇。这种抽象也被称为服务器应用程序虚拟化。这是...
服务器虚拟主机虚拟化

蜜罐如何在攻防演练中战术部防?

蜜罐是一种软件应用系统,用来称当入侵诱饵,引诱黑客前来攻击。攻击者入侵后,通过监测与分析,就可以知道他是如何入侵的,随时了解针对组织服务器发动的最新的攻击和漏洞。在开始阅读这篇文章之前,请先仔细看看以下几个问题,如果它们刚好是你关心的,请继续下面的文章内容。你...
攻击漏洞服务器安全蜜罐