Microsoft Exchange漏洞暴露了约100000个Windows域凭据

Microsoft Exchange的自动发现协议的实现中存在一个未修补的设计缺陷，导致全球范围内大约10万个Windows域的登录名和密码泄漏。

Guardicore的Amit Serper在一份技术报告中说：“这是一个严重的安全问题，因为如果攻击者能够控制此类域，或者能够‘嗅探’同一网络中的流量，他们就可以以明文（HTTP基本身份验证）的形式捕获通过网络传输的域凭据。”。

“此外，如果攻击者具有大规模DNS中毒功能（例如民族国家攻击者），他们可以通过基于这些自动发现TLD[顶级域]的大规模DNS中毒活动系统地窃取泄漏的密码。”

Exchange自动发现服务允许用户以最少的用户输入配置Microsoft Outlook等应用程序，只允许使用电子邮件地址和密码的组合来检索设置电子邮件客户端所需的其他预定义设置。

Guardicore发现的弱点存在于基于POX（又名“纯旧XML”）XML协议的自动发现的特定实现中，该协议导致自动发现域的web请求泄漏到用户域之外，但在同一顶级域中。

In a hypothetical example where a user's email address is "user@example.com," the email client leverages the Autodiscover service to construct a URL to fetch the configuration data using any of the below combinations of the email domain, a subdomain, and a path string, failing which it instantiates a "back-off" algorithm —

• https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
• https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
• https://example.com/Autodiscover/Autodiscover.xml
• https://example.com/Autodiscover/Autodiscover.xml

Serper解释说：“这种‘退避’机制是这次泄漏的罪魁祸首，因为它总是试图解决域的自动发现部分，而且总是试图‘失败’。”。“这意味着，下一次尝试构建自动发现URL的结果将是：'https://Autodiscover.com/Autodiscover/Autodiscover.xml.“这意味着无论谁拥有Autodiscover。com将接收无法到达原始域的所有请求。"

通过此发现和注册多个Autodiscover顶级域（例如Autodiscover.com[。]br，自动发现。com[.]cn，自动发现[.]在“蜜罐”中，GueDICORE表示，它能够访问从不同域、IP地址和客户端自动发现端点的请求，从Outlook、移动电子邮件客户端和与2021年4月16日在四个月内与微软Exchange Server接口连接的其他应用程序中发送96671个唯一凭证。2021年8月25日。

这家总部位于波士顿的网络安全公司指出，这些泄密凭证的域名属于多个垂直行业的多个实体，涉及中国上市公司、投资银行、食品制造商、发电厂和房地产公司。

更糟糕的是，研究人员开发了一种“ol’switcheroo”攻击，该攻击涉及向客户端发送请求，以降级为较弱的身份验证方案（即HTTP基本身份验证），而不是OAuth或NTLM等安全方法，从而促使电子邮件应用程序以明文形式发送域凭据。

为了减少自动发现泄漏，建议Exchange用户禁用对基本身份验证的支持，并添加所有可能的自动发现列表。TLD域到本地主机文件或防火墙配置，以防止不必要的自动发现域解析。还建议软件供应商避免实施“退避”程序，该程序无法构建“自动发现”等不可预见的域

Serper说：“通常，攻击者会试图通过应用各种技术，无论是技术还是社会工程，让用户向他们发送凭据。”。“然而，这起事件向我们表明，密码可以通过协议泄露到组织的外围之外，该协议旨在简化IT部门在电子邮件客户端配置方面的操作，而IT或安全部门的任何人甚至都不知道这一点，这强调了正确分割电子邮件的重要性。”零信任。"