自动发现是 Microsoft Exchange Server 中的一种协议,它使用户能够仅使用密码和电子邮件地址有效地配置应用程序。Guardicore 的 Amit Serper 表示,Exchange 中的一个缺陷意味着数以万计的 Windows 域的唯一登录信息已在线泄露。
“这是一个严重的安全问题,因为如果攻击者可以控制此类域或能够’嗅探’同一网络中的流量,他们就可以捕获通过网络传输的纯文本(HTTP 基本身份验证)的域凭据,” Serper 在一份技术报告中指出。
“此外,如果攻击者具有大规模的 DNS 中毒能力(例如民族国家攻击者),他们可以通过基于这些 Autodiscover TLD [顶级域],”他补充道。
由于该漏洞,如果域在用户域之外但具有相同的 TLD,自动发现协议会泄漏域 Web 请求。Guardicore 发现了一批域,研究人员能够更改它们以捕获用户的明文帐户信息。
泄漏和响应
在撰写本文时,这家安全研究公司已在全球范围内发现了 11 个带有 TLD 的 Autodiscover 域。这些域是为了接入由 Guardicore 控制的服务器而进行的更改。该公司随后将它们用作概念证明。自动发现域来自:
- Autodiscover.com.br – 巴西
- Autodiscover.com.cn – 中国
- Autodiscover.com.co – 哥伦比亚
- Autodiscover.es – 西班牙
- Autodiscover.fr – 法国
- Autodiscover.in – 印度
- Autodiscover.it – 意大利
- Autodiscover.sg – 新加坡
- Autodiscover.uk – 英国
- 自动发现.xyz
- 在线自动发现
这组域足以发生巨大的泄漏,其中有 372,072 个 Windows 域凭据,其中 96,671 个是唯一的,从 Microsoft Outlook 等流行应用程序中泄漏。事实上,任何与 Microsoft Exchange Server 同步的应用程序都存在风险。
自披露以来,微软和 Guardicore 之间出现了一场小小的口水战。微软高级总监杰夫琼斯上周在接受Ars Technica采访时表示,该公司在没有告诉微软的情况下公开披露了该漏洞。
Guardicore 对此提出异议,并表示没有什么可透露的,因为该缺陷已为人所知多年。该公司表示,不同之处在于“我们只是能够大规模利用它。”
微软尚未对任何修复做出回应。
