Microsoft Exchange 的自動(dòng)發(fā)現(xiàn)功能實(shí)施中的缺陷已經(jīng)泄露了全球大約100,000個(gè) Windows域的登錄名和密碼。

在 Guardicore的安全研究副總裁Amit Serper的一份新報(bào)告中，研究人員揭示了自動(dòng)發(fā)現(xiàn)協(xié)議的錯(cuò)誤實(shí)施(而不是Microsoft Exchange中的錯(cuò)誤)如何導(dǎo)致Windows證書被發(fā)送到第三方不受信任的網(wǎng)站。

在討論問(wèn)題之前，先來(lái)快速了解一下Microsoft Exchange的自動(dòng)發(fā)現(xiàn)協(xié)議以及它是如何實(shí)現(xiàn)的。

什么是 Microsoft Exchange 自動(dòng)發(fā)現(xiàn)

Microsoft Exchange使用自動(dòng)發(fā)現(xiàn)功能自動(dòng)配置用戶的郵件客戶端(如Microsoft Outlook)及其組織的預(yù)定義郵件設(shè)置。

當(dāng)Exchange用戶在電子郵件客戶端(如Microsoft Outlook)中輸入他們的電子郵件地址和密碼時(shí)，郵件客戶端將嘗試對(duì)各種Exchange自動(dòng)發(fā)現(xiàn)url進(jìn)行身份驗(yàn)證。

在此認(rèn)證過(guò)程中，登錄名和密碼會(huì)自動(dòng)發(fā)送到“自動(dòng)發(fā)現(xiàn)URL”。

將連接到的自動(dòng)發(fā)現(xiàn)url來(lái)自客戶端中配置的電子郵件地址。

例如，當(dāng)Serper使用電子郵件“amit@example.com”測(cè)試自動(dòng)發(fā)現(xiàn)功能時(shí)，他發(fā)現(xiàn)郵件客戶端試圖驗(yàn)證以下自動(dòng)發(fā)現(xiàn)url:

Autodiscover.example.com/Autodiscove…

Autodiscover.example.com/Autodiscove…

example.com/Autodiscove…

example.com/Autodiscove…

郵件客戶端將嘗試每個(gè) URL，直到它成功通過(guò) Microsoft Exchange 服務(wù)器的身份驗(yàn)證并將配置信息發(fā)送回客戶端。

將憑據(jù)泄漏到外部域

如果客戶端無(wú)法對(duì)上述 URL 進(jìn)行身份驗(yàn)證，Serper 發(fā)現(xiàn)某些郵件客戶端(包括 Microsoft Outlook)將執(zhí)行“后退”程序。此過(guò)程嘗試創(chuàng)建其他URL以進(jìn)行身份驗(yàn)證，例如 autodiscover.[tld] 域，其中 TLD 來(lái)自用戶的電子郵件地址。

在本例中，生成的URL是Autodiscover.com/Autodiscove…

自動(dòng)發(fā)現(xiàn)協(xié)議的這種錯(cuò)誤實(shí)現(xiàn)導(dǎo)致郵件客戶端向不受信任的域(例如 autodiscover.com)進(jìn)行身份驗(yàn)證，這就是問(wèn)題的開始。

由于電子郵件用戶所在的組織不擁有此域，并且憑據(jù)會(huì)自動(dòng)發(fā)送到URL，因此域所有者可以收集發(fā)送給他們的任何憑據(jù)。

為了對(duì)此進(jìn)行測(cè)試，Guardicore 注冊(cè)了以下域并在每個(gè)域上設(shè)置了 Web 服務(wù)器，以查看 Microsoft Exchange 自動(dòng)發(fā)現(xiàn)功能會(huì)泄露多少憑據(jù)。

Autodiscover.com.br - 巴西

Autodiscover.com.cn - 中國(guó)

Autodiscover.com.co - 哥倫比亞

Autodiscover.es - 西班牙

Autodiscover.fr - 法國(guó)

Autodiscover.in - 印度

Autodiscover.it - 意大利

Autodiscover.sg - 新加坡

Autodiscover.uk - 英國(guó)

自動(dòng)發(fā)現(xiàn).xyz

Autodiscover.online

注冊(cè)并使用這些域后，Serper發(fā)現(xiàn)電子郵件客戶端(包括 Microsoft Outlook)使用基本身份驗(yàn)證發(fā)送了許多帳戶憑據(jù)，從而使它們易于查看。

對(duì)于使用NTLM和Oauth發(fā)送憑據(jù)的Microsoft Outlook客戶端，Serper創(chuàng)建了一種稱為“The ol switcheroo”的攻擊，強(qiáng)制客戶端將請(qǐng)求降級(jí)為基本身份驗(yàn)證請(qǐng)求。

這將再次允許研究人員訪問(wèn)用戶的明文密碼。

在2021年4月20日至2021年8月25日期間進(jìn)行這些測(cè)試時(shí)，Guardicore服務(wù)器收到:

648,976 個(gè)針對(duì)其自動(dòng)發(fā)現(xiàn)域的 HTTP 請(qǐng)求。

372,072 個(gè)基本身份驗(yàn)證請(qǐng)求。

96,671 個(gè)唯一預(yù)認(rèn)證請(qǐng)求。

Guardicore 表示，發(fā)送其憑據(jù)的域包括：

在中國(guó)市場(chǎng)上市的公司

食品制造商

投資銀行

發(fā)電廠

電力輸送

房地產(chǎn)

航運(yùn)和物流

時(shí)裝和珠寶

緩解Microsoft Exchange自動(dòng)發(fā)現(xiàn)泄露

根據(jù)Serper建議，企業(yè)和開發(fā)人員可以使用這些建議來(lái)緩解這些Microsoft Exchange 自動(dòng)發(fā)現(xiàn)泄露。

對(duì)于使用 Microsoft Exchange 的組織，應(yīng)盡可能阻止所有自動(dòng)發(fā)現(xiàn)。建議禁用基本身份驗(yàn)證，因?yàn)樗鼘?shí)際上是以明文形式發(fā)送憑證。

對(duì)于軟件開發(fā)人員，Serper 建議用戶在構(gòu)建自動(dòng)發(fā)現(xiàn)URL時(shí)防止他們的郵件客戶端向上出錯(cuò)，這樣他們就不會(huì)連接到Autodiscover.[tld]域。

微軟發(fā)言人表示，目前正在積極采取措施保護(hù)使用者，并致力于漏洞披露問(wèn)題以降低客戶不必要的風(fēng)險(xiǎn)。

Serper表示，許多開發(fā)人員只是使用都存在相同問(wèn)題的第三方庫(kù)，在使用是并未關(guān)注是否存在安全風(fēng)險(xiǎn)。當(dāng)前軟件開發(fā)離不開第三方庫(kù)的使用，但其中的風(fēng)險(xiǎn)問(wèn)題卻一直存在。

當(dāng)應(yīng)用程序中的第三代碼方庫(kù)存在安全漏洞時(shí)，對(duì)企業(yè)來(lái)說(shuō)后果可能很嚴(yán)重。首先，違規(guī)風(fēng)險(xiǎn)可能會(huì)更高，其次是增加了補(bǔ)丁的復(fù)雜性。漏洞時(shí)間越長(zhǎng)修補(bǔ)就越復(fù)雜，打補(bǔ)丁所需的時(shí)間就越長(zhǎng)，破壞應(yīng)用程序的風(fēng)險(xiǎn)也就越大。

對(duì)于既是直接依賴又是傳遞依賴的庫(kù)，修補(bǔ)可能需要長(zhǎng)達(dá) 2.5 倍的時(shí)間。這同樣適用于復(fù)雜的漏洞，例如任意代碼執(zhí)行缺陷，與典型問(wèn)題相比，修復(fù)這些漏洞可能需要兩倍的時(shí)間。遠(yuǎn)程代碼執(zhí)行和拒絕服務(wù)錯(cuò)誤也需要更長(zhǎng)的時(shí)間來(lái)解決。

為了提高網(wǎng)絡(luò)抵御風(fēng)險(xiǎn)能力，在軟件開發(fā)期間不斷通過(guò)靜態(tài)代碼檢測(cè)時(shí)時(shí)發(fā)現(xiàn)缺陷并修復(fù)，可以降低安全漏洞，大大提高軟件安全性。在網(wǎng)絡(luò)世界危機(jī)四伏的今天，靜態(tài)代碼安全檢測(cè)已成為繼防火墻、殺毒軟件和入侵檢測(cè)后，網(wǎng)絡(luò)安全防護(hù)的又一有效手段。Wukong(悟空)靜態(tài)代碼檢測(cè)工具，從源碼開始，為您的軟件安全保駕護(hù)航!

參讀鏈接：

www.woocoom.com/b021.html?i…

www.bleepingcomputer.com/news/micros…