Microsoft Exchange 漏洞暴露了大约 100,000 个 Windows 域凭据

Microsoft Exchange 的自动发现协议实施中一个未修补的设计缺陷已导致全球大约 100,000 个 Windows 域的登录名和密码泄露。

“这是一个严重的安全问题，因为如果攻击者可以控制此类域或能够'嗅探'同一网络中的流量，他们就可以捕获通过网络传输的纯文本（HTTP 基本身份验证）的域凭据” Guardicore的阿米特Serper在技术报告。

“此外，如果攻击者具有大规模的 DNS 中毒能力（例如民族国家攻击者），他们可以通过基于这些 Autodiscover TLD [顶级域]。”

Exchange自动发现服务使用户能够以最少的用户输入配置 Microsoft Outlook 等应用程序，只允许使用电子邮件地址和密码的组合来检索设置其电子邮件客户端所需的其他预定义设置。

Guardicore 发现的弱点在于基于POX（又名“plain old XML”）XML 协议的 Autodiscover 的特定实现，该实现导致对 Autodiscover 域的 Web 请求泄漏到用户域之外但在同一顶级域中.

在用户电子邮件地址为“user@example.com”的假设示例中，电子邮件客户端利用自动发现服务构造一个 URL 以使用以下电子邮件域、子域和子域的任何组合来获取配置数据路径字符串，失败它会实例化一个“退避”算法——

• https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
• https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
• https://example.com/Autodiscover/Autodiscover.xml
• https://example.com/Autodiscover/Autodiscover.xml

“这种‘退避’机制是这次泄漏的罪魁祸首，因为它总是试图解决域的自动发现部分，而且它总是试图‘失败’，可以这么说，”Serper 解释说。“意思是，下一次尝试构建自动发现 URL 的结果将是：'https://Autodiscover.com/Autodiscover/Autodiscover.xml。' 这意味着拥有 Autodiscover.com 的人将收到所有无法到达原始域的请求。”

有了这一发现，并通过将许多 Autodiscover 顶级域（例如 Autodiscover.com[.]br、Autodiscover.com[.]cn、Autodiscover[.]in 等）注册为蜜罐，Guardicore 表示这是能够访问来自不同域、IP 地址和客户端的自动发现端点的请求，在 2021 年 4 月 16 日之间的四个月内，从 Outlook、移动电子邮件客户端和其他与 Microsoft Exchange 服务器连接的应用程序中获取 96,671 个唯一凭据，以及2021 年 8 月 25 日。

这家总部位于波士顿的网络安全公司指出，这些泄露凭证的域名属于多个垂直领域的实体，包括中国上市公司、投资银行、食品制造商、发电厂和房地产公司。

更糟糕的是，研究人员开发了一种“ol' switcheroo”攻击，包括向客户端发送请求以降级到较弱的身份验证方案（即HTTP 基本身份验证），而不是 OAuth 或 NTLM 等安全方法，提示电子邮件应用程序以明文形式发送域凭据。

为了缓解自动发现泄漏，建议 Exchange 用户禁用对基本身份验证的支持，并将所有可能的 Autodiscover.TLD 域的列表添加到本地主机文件或防火墙配置，以防止不需要的自动发现域解析。还建议软件供应商避免实施“回退”程序，该程序无法向上构建不可预见的域，例如“自动发现”。

“通常，攻击者会尝试通过应用各种技术（无论是技术还是社会工程）来使用户向他们发送凭据，”Serper 说。“然而，这起事件向我们表明，密码可以通过一种协议泄露到组织的外围，该协议旨在简化 IT 部门在电子邮件客户端配置方面的操作，而 IT 或安全部门的任何人甚至都没有意识到这一点。强调了适当分割和零信任的重要性。”