Microsoft Exchange 漏洞允许 100,000 个用户凭据在线泄露

Microsoft Exchange 漏洞允许 100,000 个用户凭据在线泄露
Microsoft Exchange Server经历了艰难的 2021 年,一系列漏洞利用危及平台上的用户。该服务似乎正面临另一个新的安全威胁。Guardicore 的一名安全研究人员发现 Exchange 的自动发现协议中存在一个重大漏洞,导致近 100,000 个登录名和密码泄露。

自动发现是 Microsoft Exchange Server 中的一种协议,它使用户能够仅使用密码和电子邮件地址有效地配置应用程序。Guardicore 的 Amit Serper 表示,Exchange 中的一个缺陷意味着数以万计的 Windows 域的唯一登录信息已在线泄露。

“这是一个严重的安全问题,因为如果攻击者可以控制此类域或能够’嗅探’同一网络中的流量,他们就可以捕获通过网络传输的纯文本(HTTP 基本身份验证)的域凭据,” Serper 在一份技术报告中指出。

“此外,如果攻击者具有大规模的 DNS 中毒能力(例如民族国家攻击者),他们可以通过基于这些 Autodiscover TLD [顶级域],”他补充道。

由于该漏洞,如果域在用户域之外但具有相同的 TLD,自动发现协议会泄漏域 Web 请求。Guardicore 发现了一批域,研究人员能够更改它们以捕获用户的明文帐户信息。

泄漏和响应

在撰写本文时,这家安全研究公司已在全球范围内发现了 11 个带有 TLD 的 Autodiscover 域。这些域是为了接入由 Guardicore 控制的服务器而进行的更改。该公司随后将它们用作概念证明。自动发现域来自:

  • Autodiscover.com.br – 巴西
  • Autodiscover.com.cn – 中国
  • Autodiscover.com.co – 哥伦比亚
  • Autodiscover.es – 西班牙
  • Autodiscover.fr – 法国
  • Autodiscover.in – 印度
  • Autodiscover.it – 意大利
  • Autodiscover.sg – 新加坡
  • Autodiscover.uk – 英国
  • 自动发现.xyz
  • 在线自动发现

这组域足以发生巨大的泄漏,其中有 372,072 个 Windows 域凭据,其中 96,671 个是唯一的,从 Microsoft Outlook 等流行应用程序中泄漏。事实上,任何与 Microsoft Exchange Server 同步的应用程序都存在风险。

自披露以来,微软和 Guardicore 之间出现了一场小小的口水战。微软高级总监杰夫琼斯上周在接受Ars Technica采访时表示,该公司在没有告诉微软的情况下公开披露了该漏洞。

Guardicore 对此提出异议,并表示没有什么可透露的,因为该缺陷已为人所知多年。该公司表示,不同之处在于“我们只是能够大规模利用它。”

微软尚未对任何修复做出回应。

正文完