微软Exchange自动发现功能爆重大缺陷,10万域控密码被泄露

微软Exchange自动发现功能爆重大缺陷,10万域控密码被泄露

微软Exchange的自动发现协议中爆出一个未修复的设计缺陷安全漏洞,已导致全球大约10万个Windows域控的登录名和密码的泄露。

根据网络安全行业门户极牛网GEEKNB.COM的梳理,这是一个极其严重的安全事件,因为如果攻击者可以控制此类域或能够’嗅探’同一网络中的流量,他们就可以捕获通过网络传输的纯文本(HTTP 基本身份验证)的域凭据。此外,如果攻击者具有大规模的 DNS 投毒能力,他们可以通过基于这些 Autodiscover TLD 顶级域。

Exchange自动发现服务使用户能够以最少的用户输入配置 Microsoft Outlook 等应用程序,只允许使用电子邮件地址和密码的组合来检索设置其电子邮件客户端所需的其他预定义设置。该机制的缺陷在基于POX XML 协议的 Autodiscover 的特定实现,该协议导致对 Autodiscover 域的 Web 请求泄漏到用户域之外。

微软Exchange自动发现功能爆重大缺陷,10万域控密码被泄露

在用户电子邮件地址为“user@example.com”的假设示例中,电子邮件客户端利用自动发现服务构建 URL 以使用以下电子邮件域、子域和子域的任何组合来获取配置数据路径字符串,失败它会实例化一个“退避”算法:

  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://example.com/Autodiscover/Autodiscover.xml
  • https://example.com/Autodiscover/Autodiscover.xml

根据网络安全行业门户极牛网GEEKNB.COM的梳理,这种“退避”机制是这次泄漏的罪魁祸首,因为它总是试图解决域的自动发现功能,而且总是无法解决,当失败时下一次尝试构建自动发现 URL 的结果将是:’https://Autodiscover.com/Autodiscover/Autodiscover.xml。’ 这意味着拥有 Autodiscover.com 的人将收到所有无法到达原始域的请求。

有了这一发现,并通过将许多 Autodiscover 顶级域(例如 Autodiscover.com.br、Autodiscover.com.cn、Autodiscover.in 等)注册为蜜罐,这是能够访问来自不同域、IP 地址和客户端的自动发现端点的请求,在 2021 年 4 月 16 日之间的四个月内,从 Outlook、移动电子邮件客户端和其他与 Microsoft Exchange 服务器连接的应用程序中获取 96671 个唯一凭据。

微软Exchange自动发现功能爆重大缺陷,10万域控密码被泄露

这些泄露凭证的域名属于多个垂直领域的组织机构,包括中国上市公司、投资银行、食品制造商、发电厂和房地产公司。

更糟糕的是,安全研究人员发明了一种“ol’ switcheroo”攻击,其中包括向客户端发送请求以降级到较弱的身份验证方案(即HTTP 基本身份验证),而不是像 OAuth 或 NTLM 这样的安全方法,提示电子邮件应用程序以明文形式发送域凭据。

为了减少自动发现泄漏,建议 Exchange 用户禁用对基本身份验证的支持,并将所有可能的 Autodiscover.TLD 域的列表添加到本地主机文件或防火墙配置,以防止不需要的自动发现域解析。还建议软件供应商避免实施“回退”程序,该程序无法向上构建不可预见的域。

通常,攻击者会尝试通过应用各种技术(无论是技术还是社会工程)来使用户向他们发送凭据,然而,这一事件向我们表明,密码可能会通过一种协议泄露到组织的外围,该协议旨在简化 IT 部门在电子邮件客户端配置方面的操作,而 IT 或安全部门的任何人都没有意识到这一点,强调了适当分割和零信任的重要性。

 

微软Exchange自动发现功能爆重大缺陷,10万域控密码被泄露

极牛网精选文章《微软Exchange自动发现功能爆重大缺陷,10万域控密码被泄露》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16436.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
DataSec的头像DataSec认证作者
上一篇 2021年9月23日 下午2:28
下一篇 2021年9月23日 下午7:18

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部