Microsoft Exchange自動發(fā)現(xiàn)漏洞泄漏100K個Windows憑據(jù)

Microsoft Exchange 的自動發(fā)現(xiàn)功能實施中的缺陷已經(jīng)泄露了全球大約100,000個 Windows域的登錄名和密碼。

在 Guardicore的安全研究副總裁Amit Serper的一份新報告中，研究人員揭示了自動發(fā)現(xiàn)協(xié)議的錯誤實施(而不是Microsoft Exchange中的錯誤)如何導(dǎo)致Windows證書被發(fā)送到第三方不受信任的網(wǎng)站。

在討論問題之前，先來快速了解一下Microsoft Exchange的自動發(fā)現(xiàn)協(xié)議以及它是如何實現(xiàn)的。

什么是 Microsoft Exchange 自動發(fā)現(xiàn)

Microsoft Exchange使用自動發(fā)現(xiàn)功能自動配置用戶的郵件客戶端(如Microsoft Outlook)及其組織的預(yù)定義郵件設(shè)置。

當(dāng)Exchange用戶在電子郵件客戶端(如Microsoft Outlook)中輸入他們的電子郵件地址和密碼時，郵件客戶端將嘗試對各種Exchange自動發(fā)現(xiàn)url進行身份驗證。

在此認(rèn)證過程中，登錄名和密碼會自動發(fā)送到“自動發(fā)現(xiàn)URL”。

將連接到的自動發(fā)現(xiàn)url來自客戶端中配置的電子郵件地址。

例如，當(dāng)Serper使用電子郵件“[email protected]”測試自動發(fā)現(xiàn)功能時，他發(fā)現(xiàn)郵件客戶端試圖驗證以下自動發(fā)現(xiàn)url:

https://Autodiscover.example.com/Autodiscover/Autodiscover.xml

http://Autodiscover.example.com/Autodiscover/Autodiscover.xml

https://example.com/Autodiscover/Autodiscover.xml

http://example.com/Autodiscover/Autodiscover.xml

郵件客戶端將嘗試每個 URL，直到它成功通過 Microsoft Exchange 服務(wù)器的身份驗證并將配置信息發(fā)送回客戶端。

將憑據(jù)泄漏到外部域

如果客戶端無法對上述 URL 進行身份驗證，Serper 發(fā)現(xiàn)某些郵件客戶端(包括 Microsoft Outlook)將執(zhí)行“后退”程序。此過程嘗試創(chuàng)建其他URL以進行身份驗證，例如 autodiscover.[tld] 域，其中 TLD 來自用戶的電子郵件地址。

在本例中，生成的URL是http://Autodiscover.com/Autodiscover/Autodiscover.xml。

自動發(fā)現(xiàn)協(xié)議的這種錯誤實現(xiàn)導(dǎo)致郵件客戶端向不受信任的域(例如 autodiscover.com)進行身份驗證，這就是問題的開始。

由于電子郵件用戶所在的組織不擁有此域，并且憑據(jù)會自動發(fā)送到URL，因此域所有者可以收集發(fā)送給他們的任何憑據(jù)。

為了對此進行測試，Guardicore 注冊了以下域并在每個域上設(shè)置了 Web 服務(wù)器，以查看 Microsoft Exchange 自動發(fā)現(xiàn)功能會泄露多少憑據(jù)。

Autodiscover.com.br - 巴西

Autodiscover.com.cn - 中國

Autodiscover.com.co - 哥倫比亞

Autodiscover.es - 西班牙

Autodiscover.fr - 法國

Autodiscover.in - 印度

Autodiscover.it - 意大利

Autodiscover.sg - 新加坡

Autodiscover.uk - 英國

自動發(fā)現(xiàn).xyz

Autodiscover.online

注冊并使用這些域后，Serper發(fā)現(xiàn)電子郵件客戶端(包括 Microsoft Outlook)使用基本身份驗證發(fā)送了許多帳戶憑據(jù)，從而使它們易于查看。

對于使用NTLM和Oauth發(fā)送憑據(jù)的Microsoft Outlook客戶端，Serper創(chuàng)建了一種稱為“The ol' switcheroo”的攻擊，強制客戶端將請求降級為基本身份驗證請求。

這將再次允許研究人員訪問用戶的明文密碼。

在2021年4月20日至2021年8月25日期間進行這些測試時，Guardicore服務(wù)器收到:

648,976 個針對其自動發(fā)現(xiàn)域的 HTTP 請求。

372,072 個基本身份驗證請求。

96,671 個唯一預(yù)認(rèn)證請求。

Guardicore 表示，發(fā)送其憑據(jù)的域包括：

在中國市場上市的公司

食品制造商

投資銀行

發(fā)電廠

電力輸送

房地產(chǎn)

航運和物流

時裝和珠寶

緩解Microsoft Exchange自動發(fā)現(xiàn)泄露

根據(jù)Serper建議，企業(yè)和開發(fā)人員可以使用這些建議來緩解這些Microsoft Exchange 自動發(fā)現(xiàn)泄露。

對于使用 Microsoft Exchange 的組織，應(yīng)盡可能阻止所有自動發(fā)現(xiàn)。建議禁用基本身份驗證，因為它實際上是以明文形式發(fā)送憑證。

對于軟件開發(fā)人員，Serper 建議用戶在構(gòu)建自動發(fā)現(xiàn)URL時防止他們的郵件客戶端向上出錯，這樣他們就不會連接到Autodiscover.[tld]域。

微軟發(fā)言人表示，目前正在積極采取措施保護使用者，并致力于漏洞披露問題以降低客戶不必要的風(fēng)險。

Serper表示，許多開發(fā)人員只是使用都存在相同問題的第三方庫，在使用是并未關(guān)注是否存在安全風(fēng)險。當(dāng)前軟件開發(fā)離不開第三方庫的使用，但其中的風(fēng)險問題卻一直存在。

當(dāng)應(yīng)用程序中的第三代碼方庫存在安全漏洞時，對企業(yè)來說后果可能很嚴(yán)重。首先，違規(guī)風(fēng)險可能會更高，其次是增加了補丁的復(fù)雜性。漏洞時間越長修補就越復(fù)雜，打補丁所需的時間就越長，破壞應(yīng)用程序的風(fēng)險也就越大。

對于既是直接依賴又是傳遞依賴的庫，修補可能需要長達 2.5 倍的時間。這同樣適用于復(fù)雜的漏洞，例如任意代碼執(zhí)行缺陷，與典型問題相比，修復(fù)這些漏洞可能需要兩倍的時間。遠程代碼執(zhí)行和拒絕服務(wù)錯誤也需要更長的時間來解決。

為了提高網(wǎng)絡(luò)抵御風(fēng)險能力，在軟件開發(fā)期間不斷通過靜態(tài)代碼檢測時時發(fā)現(xiàn)缺陷并修復(fù)，可以降低安全漏洞，大大提高軟件安全性。在網(wǎng)絡(luò)世界危機四伏的今天，靜態(tài)代碼安全檢測已成為繼防火墻、殺毒軟件和入侵檢測后，網(wǎng)絡(luò)安全防護的又一有效手段。Wukong(悟空)靜態(tài)代碼檢測工具，從源碼開始，為您的軟件安全保駕護航!

參讀鏈接：

https://www.woocoom.com/b021.html?id=03ee6a92b2014900bc975252550378a1

https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-autodiscover-bugs-leak-100k-windows-credentials/