根据新的Guardicore研究,Microsoft Exchange使用的协议Autodiscover存在漏洞,导致各种漏洞Windows和Microsoft登录凭证被泄露。
Exchange使用Autodiscover客户端应用程序的自动配置,如Microsoft Outlook。企业安全供应商Guardicore安全研究区副总裁Amit Serper在公司专门针对漏洞的帖子中,Autodiscover设计缺陷导致协议Web请求‘泄漏’在用户域外Autodiscover但仍在同一顶级域 (TLD) 中,如 Autodiscover.com。
Guardicore研究人员随后测试了漏洞。
Serper博客文章中写道:“Guardicore Labs买多个带 TLD 后缀的 Autodiscover 域,并将其设置为定向控制Web服务器。不久之后,我们检测到了大量泄漏Windows域凭证到达我们的服务器。”
该供应商购买的域名示例包括 Autodiscover.com.br、Autodiscover.com.cn和 Autodiscover.com.co;该帖子包含了大量关于域名如何被滥用的技术细节。
Serper从4月16日到8月25日,Guardicore 372,072 Windows 域凭证和 96,671 是各种应用程序泄漏的独特凭证,如 Microsoft Outlook、等Microsoft Exchange 服务器连接的应用程序。
Autodiscover漏洞不是新问题。Serper表示,Shape Security于 2017年首次披露核心漏洞,当年在 Black Hat Asia调查结果显示在 上。CVE-2016-9940 和 CVE-2017-2414 发现漏洞只影响移动设备上的电子邮件客户端。Serper写道:“Shape Security 披露的漏洞已经修复,但在2021年,我们将面临更大的威胁,更多的第三方应用程序将面临同样的问题。”
本文提出了两种缓解措施员和供应商提出了两种缓解措施。
对于使用Exchange普通公众,Guardicore 建议用户在其防火墙中阻止Autodiscover域。Serper 还表示,在配置 Exchange 设置时,用户应“确保禁用支持基本身份验证”。Serper 继续说道,“使用 HTTP 基本身份验证相当于通过网络以明文形式发送密码。”
同时,开发人员应确保他们不会让步Autodiscover协议蔓延。
Serper称:“请确保部署在您的产品中Autodiscover协议时,即Autodiscover等域永远不应该由‘退避’算法构建。”
漏洞披露纠纷
微软批评 Guardicore 在发布研究之前没有遵循漏洞披露过程。科技巨头 SearchSecurity微软高级总监分享了以下声明Jeff Jones。
Jones 写到:“我们正在积极调查,并将采取适当的措施来保护客户。我们致力于协调漏洞披露,这是一种行业标准的合作方法,可以在问题披露之前降低不必要的风险。不幸的是,这个问题在研究人员营销团队向媒体展示之前没有向我们报告。”
Serper 在周三晚上的一条推文中回应了这一声明,已发送给其他媒体。
他表示:“我的报告清楚地引用了2017 年提出这个问题的研究:请参考 2017 年的论文,就像 Black Hat Asia 2017 中提出的。这不是。0day,至少1460天过去了。微软不可能不知道这个漏洞。”