【风险通告】Microsoft Exchange Autodiscover凭据泄露风险通告

0x00 风险概述

近日，研究人员披露Microsoft Exchange Autodiscover协议存在设计缺陷，导致全球大约 100,000个 Windows域的登录名和密码被泄露，攻击者可利用这个缺陷窃取用户的windows域凭据，以用于进一步的攻击。

 

0x01 攻击详情

Autodiscover是Microsoft Exchange用于自动配置客户端（如Microsoft Outlook）的协议。该协议存在设计缺陷，可导致将用户的Web请求泄漏到用户域之外但位于同一 TLD 中的 Autodiscover 域（即 Autodiscover.com）。

在Autodiscover协议实现过程中，当Exchange用户将他们的电子邮件地址和密码输入电子邮件客户端（如Microsoft Outlook）后，电子邮件客户端将尝试使用Autodiscover来配置客户端。

Microsoft Outlook自动帐户设置过程

这时，客户端会分析用户输入的邮件地址（如[email protected]），并尝试基于用户的邮件地址来构造Autodiscover URL：

• https://Autodiscover.example.com/Autodiscover/Autodiscover.xml

• http://Autodiscover.example.com/Autodiscover/Autodiscover.xml

• https://example.com/Autodiscover/Autodiscover.xml

• http://example.com/Autodiscover/Autodiscover.xml

邮件客户端将尝试每个 URL，直到它成功通过 Microsoft Exchange 服务器的身份验证并将配置信息发送回客户端。如果客户端无法对上述 URL 进行身份验证，Autodiscover就会开始back-off过程。

Back-off过程尝试创建其它 URL 以进行身份验证，例如autodiscover.[tld] 域，其中 TLD 来自用户的电子邮件地址。在这种特殊情况下，生成的 URL 为 http://Autodiscover.com/Autodiscover/Autodiscover.xml。这意味着拥有Autodiscover.com 的人将收到所有无法到达原始域的请求。Back-off机制是导致泄露的关键，因为它会导致邮件客户端向不受信任的域（例如autodiscover.com）进行身份验证。

Autodiscover "back-off" 过程

为了测试，研究人员注册了以下域并在每个域上设置了 Web 服务器，以查看 Microsoft Exchange Autodiscover功能会泄露多少凭据：

• Autodiscover.com.br– 巴西

• Autodiscover.com.cn– 中国

• Autodiscover.com.co– 哥伦比亚

• Autodiscover.es– 西班牙

• Autodiscover.fr– 法国

• Autodiscover.in– 印度

• Autodiscover.it– 意大利

• Autodiscover.sg– 新加坡

• Autodiscover.uk– 英国

• Autodiscover.xyz

• Autodiscover.online

 

之后，研究人员收到了大量来自不同域名、IP地址和客户端的请求（2021 年 4月 20 日- 2021 年 8 月 25 日期间）。其中包括648,976个针对其Autodiscover域名的HTTP请求，372,072个基本认证请求，96,671个独特的预认证请求。

 

收集的请求分布

这些请求中最值得注意的是，它们请求的相对路径是/Autodiscover/Autodiscover.xml，其authorization header已经填充了HTTP基本身份验证中的凭据。

HTTP GET 请求示例，其中authorization header已经填充了凭据

 

在检查这些泄露的凭据中的域时，研究人员找到了来自多个垂直领域的不同公司的凭据，包括：上市公司（中国）、食品制造商、投资银行、发电厂、电力输送、房地产、运输和物流以及时装和珠宝行业。

攻击者可以注册 autodiscover.[tld] 域并开始收集泄露的 Windows 和电子邮件凭据，以用于对组织的攻击。Microsoft正在注册Microsoft Exchange Autodiscover协议在错误实施中发送Windows凭证的Internet 域来阻止泄露，截止目前，Microsoft至少已经注册了68个与autodiscover相关的域，但autodiscover协议的修复程序尚未发布。

 

0x02 风险等级

高危。

 

0x03 影响范围

该缺陷影响了Microsoft Outlook 或其它使用Autodiscover协议的邮件客户端。

 

0x04 安全建议

目前Microsoft暂未提供Autodiscover协议缺陷的相关补丁及修复方式，建议参考以下缓解措施：

1、通过配置策略拦截Autodiscover协议的请求。（如在防火墙中阻止Autodiscover.com或Autodiscover.com.cn等域名）。

2、配置Exchange时禁用对基本身份验证的支持。

3、将所有可能的 Autodiscover.TLD 域列表添加到本地hosts文件或防火墙配置中，以降低解析此类Autodiscover域的风险。

Autodiscover域列表下载链接：

https://github.com/guardicore/labs_campaigns/tree/master/Autodiscover

 

0x05 参考链接

https://www.guardicore.com/labs/autodiscovering-the-great-leak/

https://www.bleepingcomputer.com/news/microsoft/microsoft-rushes-to-register-autodiscover-domains-leaking-credentials/

https://thehackernews.com/2021/09/microsoft-exchange-bug-exposes-100000.html

 

0x06 版本信息

版本	日期	修改内容
V1.0	2021-09-26	首次发布

 

0x07 关于我们

关注以下公众号，获取更多资讯：

相关推荐: 【通告更新】Apache Dubbo多个高危漏洞安全风险通告

奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日，奇安信CERT监测到国外安全研究人员发布了Apache Dubbo多个漏洞的相关细节，其中包含Apache Dubbo Hessian2 协议反序列化漏洞（CVE-2021-…