【风险通告】Microsoft Exchange Autodiscover凭据泄露风险通告

admin 2021年11月23日07:58:39安全漏洞评论81 views2786字阅读9分17秒阅读模式

0x00 风险概述

近日,研究人员披露Microsoft Exchange Autodiscover协议存在设计缺陷,导致全球大约 100,000个 Windows域的登录名和密码被泄露,攻击者可利用这个缺陷窃取用户的windows域凭据,以用于进一步的攻击。

 

0x01 攻击详情


【风险通告】Microsoft Exchange Autodiscover凭据泄露风险通告


Autodiscover是Microsoft Exchange用于自动配置客户端(如Microsoft Outlook)的协议。该协议存在设计缺陷,可导致将用户的Web请求泄漏到用户域之外但位于同一 TLD 中的 Autodiscover 域(即 Autodiscover.com)。

在Autodiscover协议实现过程中,当Exchange用户将他们的电子邮件地址和密码输入电子邮件客户端(如Microsoft Outlook)后,电子邮件客户端将尝试使用Autodiscover来配置客户端。

【风险通告】Microsoft Exchange Autodiscover凭据泄露风险通告

Microsoft Outlook自动帐户设置过程

这时,客户端会分析用户输入的邮件地址(如[email protected]),并尝试基于用户的邮件地址来构造Autodiscover URL:

  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml

  • http://Autodiscover.example.com/Autodiscover/Autodiscover.xml

  • https://example.com/Autodiscover/Autodiscover.xml

  • http://example.com/Autodiscover/Autodiscover.xml

邮件客户端将尝试每个 URL,直到它成功通过 Microsoft Exchange 服务器的身份验证并将配置信息发送回客户端。如果客户端无法对上述 URL 进行身份验证,Autodiscover就会开始back-off过程。

Back-off过程尝试创建其它 URL 以进行身份验证,例如autodiscover.[tld] 域,其中 TLD 来自用户的电子邮件地址。在这种特殊情况下,生成的 URL 为 http://Autodiscover.com/Autodiscover/Autodiscover.xml。这意味着拥有Autodiscover.com 的人将收到所有无法到达原始域的请求。Back-off机制是导致泄露的关键,因为它会导致邮件客户端向不受信任的域(例如autodiscover.com)进行身份验证。

【风险通告】Microsoft Exchange Autodiscover凭据泄露风险通告

Autodiscover "back-off" 过程

为了测试,研究人员注册了以下域并在每个域上设置了 Web 服务器,以查看 Microsoft Exchange Autodiscover功能会泄露多少凭据:

  • Autodiscover.com.br– 巴西

  • Autodiscover.com.cn– 中国

  • Autodiscover.com.co– 哥伦比亚

  • Autodiscover.es– 西班牙

  • Autodiscover.fr– 法国

  • Autodiscover.in– 印度

  • Autodiscover.it– 意大利

  • Autodiscover.sg– 新加坡

  • Autodiscover.uk– 英国

  • Autodiscover.xyz

  • Autodiscover.online

 

之后,研究人员收到了大量来自不同域名、IP地址和客户端的请求(2021 年 4月 20 日- 2021 年 8 月 25 日期间)。其中包括648,976个针对其Autodiscover域名的HTTP请求,372,072个基本认证请求,96,671个独特的预认证请求。


 

【风险通告】Microsoft Exchange Autodiscover凭据泄露风险通告


收集的请求分布

这些请求中最值得注意的是,它们请求的相对路径是/Autodiscover/Autodiscover.xml,其authorization header已经填充了HTTP基本身份验证中的凭据。

【风险通告】Microsoft Exchange Autodiscover凭据泄露风险通告

HTTP GET 请求示例,其中authorization header已经填充了凭据

 

在检查这些泄露的凭据中的域时,研究人员找到了来自多个垂直领域的不同公司的凭据,包括:上市公司(中国)、食品制造商、投资银行、发电厂、电力输送、房地产、运输和物流以及时装和珠宝行业。

攻击者可以注册 autodiscover.[tld] 域并开始收集泄露的 Windows 和电子邮件凭据,以用于对组织的攻击。Microsoft正在注册Microsoft Exchange Autodiscover协议在错误实施中发送Windows凭证的Internet 域来阻止泄露,截止目前,Microsoft至少已经注册了68个与autodiscover相关的域,但autodiscover协议的修复程序尚未发布。

 

0x02 风险等级

高危。

 

0x03 影响范围

该缺陷影响了Microsoft Outlook 或其它使用Autodiscover协议的邮件客户端。

 

0x04 安全建议

目前Microsoft暂未提供Autodiscover协议缺陷的相关补丁及修复方式,建议参考以下缓解措施:

1、通过配置策略拦截Autodiscover协议的请求。(如在防火墙中阻止Autodiscover.com或Autodiscover.com.cn等域名)。

2、配置Exchange时禁用对基本身份验证的支持。

3、将所有可能的 Autodiscover.TLD 域列表添加到本地hosts文件或防火墙配置中,以降低解析此类Autodiscover域的风险。

Autodiscover域列表下载链接:

https://github.com/guardicore/labs_campaigns/tree/master/Autodiscover

 

0x05 参考链接

https://www.guardicore.com/labs/autodiscovering-the-great-leak/

https://www.bleepingcomputer.com/news/microsoft/microsoft-rushes-to-register-autodiscover-domains-leaking-credentials/

https://thehackernews.com/2021/09/microsoft-exchange-bug-exposes-100000.html

 

0x06 版本信息

版本

日期

修改内容

V1.0

2021-09-26

首次发布

 

0x07 关于我们

关注以下公众号,获取更多资讯:

【风险通告】Microsoft Exchange Autodiscover凭据泄露风险通告


相关推荐: 【通告更新】Apache Dubbo多个高危漏洞安全风险通告

奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日,奇安信CERT监测到国外安全研究人员发布了Apache Dubbo多个漏洞的相关细节,其中包含Apache Dubbo Hessian2 协议反序列化漏洞(CVE-2021-…

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月23日07:58:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【风险通告】Microsoft Exchange Autodiscover凭据泄露风险通告 http://cn-sec.com/archives/558169.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: