近日,安全专家发现微软 Exchange 电子邮件服务器中的某项功能存在设计缺陷,能被滥用于获取世界各地用户的 Windows 域和应用程序凭证。该漏洞由安全公司 Guardicore 的安全研究副总裁 Amit Serper 发现,它存在于 Microsoft Autodiscover 协议中。 该协议是 Exchange 电子邮件服务器的一个重要部分,允许管理员以一种简单的方式确保客户使用正确的 SMTP、IMAP、LDAP、WebDAV 和其他设置;允许电子邮件客户自动发现电子邮件服务器,提供凭证,然后接收适当的配置。 但为了获得这些自动配置,电子邮件客户通常会 ping 一系列预先确定的 URL,这些 URL 来自用户的电子邮件地址域 ● https://autodiscover.example.com/autodiscover/autodiscover.xml ● http://autodiscover.example.com/autodiscover/autodiscover.xml ● https://example.com/autodiscover/autodiscover.xml ● http://example.com/autodiscover/autodiscover.xml Serper 表示他发现 Autodiscover 机制使用了“back-off”(回避)程序,以防它在第一次尝试时没有找到 Exchange 服务器的 Autodiscover 端点。他表示: 这个“回避”机制是这个泄漏的罪魁祸首,因为它总是试图解决域的自动发现部分,它总是试图“失败”。意思是说,下一次试图建立一个自动发现的 URL 的结果将是:http://autodiscover.com/autodiscover/autodiscover.xml。这意味着谁拥有 autodiscover.com,谁就会收到所有无法到达原始域名的请求。 根据他的发现,Serper 说他注册了一系列基于 Autodiscover 的顶级域名,这些域名在网上仍然可用。这包括: ● Autodiscover.com.br - 巴西 ● Autodiscover.com.cn - 中国 ● Autodiscover.com.co--哥伦比亚 ● Autodiscover.es - 西班牙 ● Autodiscover.fr - 法国 ● Autodiscover.in - 印度 ● Autodiscover.it - 意大利 ● Autodiscover.sg - 新加坡 ● Autodiscover.uk - 英国 ● Autodiscover.xyz ● Autodiscover.online 该研究人员说,Guardicore 在这些服务器上运行蜜罐,以了解问题的规模。在 2021 年 4 月 16 日至 2021 年 8 月 25 日之间的四个多月里,Serper 说这些服务器收到了数百个请求,其中有成千上万的凭证,这些用户试图设置他们的电子邮件客户端,但他们的电子邮件客户端未能找到他们雇主的适当 Autodiscover 端点。 Serper 在今天发表的一份报告中解释说:“我们收到的大量请求的有趣问题是,在发送认证请求之前,客户端没有尝试检查资源是否可用,甚至在服务器上是否存在。Guardicore 已经捕获了 372,072 个Windows域证书和 96,671 个来自微软 Outlook 等各种应用程序的独特证书”。 在筛选到连接到他们的蜜罐的域名时,Serper 说他发现了来自多个垂直行业的公司的凭证,例如。 ● 食品制造商 ● 投资银行 ● 电厂 ● 电力输送 ● 房地产 ● 航运和物流 ● 时尚和珠宝 所有收集到的凭证都是通过未加密的HTTP基本认证连接,但Serper在今天的报告中也详细介绍了从更安全的认证形式(如NTLM和Oauth)收集凭证的方法。虽然 Serper 提供了一些缓解措施,以防止系统管理员和电子邮件软件制造商的这些泄漏,但微软方面也需要对 Autodiscover 协议设计进行更新。 微软就 Guardicore 的发现发表了以下评论。 我们正在积极调查,并将采取适当的措施来保护客户。我们致力于协调漏洞披露,这是一种行业标准的合作方式,可以在问题公开之前为客户减少不必要的风险。不幸的是,在研究人员营销团队向媒体介绍这个问题之前,没有向我们报告这个问题,所以我们今天才知道这个说法。
