Microsoft Exchange 漏洞允许 100,000 个用户凭据在线泄露

系统工具 tobmac 11个月前 (09-29) 218次浏览 已收录 0个评论 扫描二维码

Warning: mysqli_query(): (HY000/1194): Table 'wp_postmeta' is marked as crashed and should be repaired in /www/wwwroot/tobmac.com/wp-includes/wp-db.php on line 2169
Microsoft Exchange 漏洞允许 100,000 个用户凭据在线泄露

Microsoft Exchange Server经历了艰难的 2021 年,一系列漏洞利用危及平台上的用户。该服务似乎正面临另一个新的安全威胁。Guardicore 的一名安全研究人员发现 Exchange 的自动发现协议中存在一个重大漏洞,导致近 100,000 个登录名和密码泄露

自动发现是 Microsoft Exchange Server 中的一种协议,它使用户能够仅使用密码和电子邮件地址有效地配置应用程序。Guardicore 的 Amit Serper 表示,Exchange 中的一个缺陷意味着数以万计的 Windows 域的唯一登录信息已在线泄露

“这是一个严重的安全问题,因为如果攻击者可以控制此类域或能够’嗅探’同一网络中的流量,他们就可以捕获通过网络传输的纯文本(HTTP 基本身份验证)的域凭据,” Serper 在一份技术报告中指出。

“此外,如果攻击者具有大规模的 DNS 中毒能力(例如民族国家攻击者),他们可以通过基于这些 Autodiscover TLD [顶级域],”他补充道。

由于该漏洞,如果域在用户域之外但具有相同的 TLD,自动发现协议会泄漏域 Web 请求。Guardicore 发现了一批域,研究人员能够更改它们以捕获用户的明文帐户信息。

泄漏和响应

在撰写本文时,这家安全研究公司已在全球范围内发现了 11 个带有 TLD 的 Autodiscover 域。这些域是为了接入由 Guardicore 控制的服务器而进行的更改。该公司随后将它们用作概念证明。自动发现域来自:

这组域足以发生巨大的泄漏,其中有 372,072 个 Windows 域凭据,其中 96,671 个是唯一的,从 Microsoft Outlook 等流行应用程序中泄漏。事实上,任何与 Microsoft Exchange Server 同步的应用程序都存在风险。

自披露以来,微软和 Guardicore 之间出现了一场小小的口水战。微软高级总监杰夫琼斯上周在接受Ars Technica采访时表示,该公司在没有告诉微软的情况下公开披露了该漏洞

Guardicore 对此提出异议,并表示没有什么可透露的,因为该缺陷已为人所知多年。该公司表示,不同之处在于“我们只是能够大规模利用它。”

微软尚未对任何修复做出回应。


TobMAC , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Microsoft Exchange 漏洞允许 100,000 个用户凭据在线泄露
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址