近日,安全專家發現微軟 Exchange 電子郵件服務器中的某項功能存在設計缺陷,能被濫用於獲取世界各地用戶的 Windows 域和應用程序憑證。該漏洞由安全公司 Guardicore 的安全研究副總裁 Amit Serper 發現,它存在於 Microsoft Autodiscover 協議中。
該協議是 Exchange 電子郵件服務器的一個重要部分,允許管理員以一種簡單的方式確保客戶使用正確的 SMTP、IMAP、LDAP、WebDAV 和其他設置;允許電子郵件客戶自動發現電子郵件服務器,提供憑證,然後接收適當的配置。
但為了獲得這些自動配置,電子郵件客戶通常會 ping 一系列預先確定的 URL,這些 URL 來自用戶的電子郵件地址域
● https://autodiscover.example.com/autodiscover/autodiscover.xml
● http://autodiscover.example.com/autodiscover/autodiscover.xml
● https://example.com/autodiscover/autodiscover.xml
● http://example.com/autodiscover/autodiscover.xml
Serper 表示他發現 Autodiscover 機制使用了“back-off”(迴避)程序,以防它在第一次嘗試時沒有找到 Exchange 服務器的 Autodiscover 端點。他表示:
這個“迴避”機制是這個泄漏的罪魁禍首,因為它總是試圖解決域的自動發現部分,它總是試圖“失敗”。意思是說,下一次試圖建立一個自動發現的 URL 的結果將是:http://autodiscover.com/autodiscover/autodiscover.xml。這意味着誰擁有 autodiscover.com,誰就會收到所有無法到達原始域名的請求。
根據他的發現,Serper 說他註冊了一系列基於 Autodiscover 的頂級域名,這些域名在網上仍然可用。這包括:
● Autodiscover.com.br – 巴西
● Autodiscover.com.cn – 中國
● Autodiscover.com.co–哥倫比亞
● Autodiscover.es – 西班牙
● Autodiscover.fr – 法國
● Autodiscover.in – 印度
● Autodiscover.it – 意大利
● Autodiscover.sg – 新加坡
● Autodiscover.uk – 英國
● Autodiscover.xyz
● Autodiscover.online
該研究人員說,Guardicore 在這些服務器上運行蜜罐,以了解問題的規模。在 2021 年 4 月 16 日至 2021 年 8 月 25 日之間的四個多月里,Serper 說這些服務器收到了數百個請求,其中有成千上萬的憑證,這些用戶試圖設置他們的電子郵件客戶端,但他們的電子郵件客戶端未能找到他們僱主的適當 Autodiscover 端點。
Serper 在今天發表的一份報告中解釋說:“我們收到的大量請求的有趣問題是,在發送認證請求之前,客戶端沒有嘗試檢查資源是否可用,甚至在服務器上是否存在。Guardicore 已經捕獲了 372,072 個 Windows 域證書和 96,671 個來自微軟 Outlook 等各種應用程序的獨特證書”。
在篩選到連接到他們的蜜罐的域名時,Serper 說他發現了來自多個垂直行業的公司的憑證,例如。
● 食品製造商
● 投資銀行
● 電廠
● 電力輸送
● 房地產
● 航運和物流
● 時尚和珠寶
所有收集到的憑證都是通過未加密的HTTP基本認證連接,但Serper在今天的報告中也詳細介紹了從更安全的認證形式(如NTLM和Oauth)收集憑證的方法。雖然 Serper 提供了一些緩解措施,以防止系統管理員和電子郵件軟件製造商的這些泄漏,但微軟方面也需要對 Autodiscover 協議設計進行更新。
微軟就 Guardicore 的發現發表了以下評論。
我們正在積極調查,並將採取適當的措施來保護客戶。我們致力於協調漏洞披露,這是一種行業標準的合作方式,可以在問題公開之前為客戶減少不必要的風險。不幸的是,在研究人員營銷團隊向媒體介紹這個問題之前,沒有向我們報告這個問題,所以我們今天才知道這個說法。