正文部分

原文作者：https://x.com/moblig_

总结

引擎推荐：WhiteIntel

一个专门收集暗网数据泄露的搜索引擎

https://whiteintel.io/

漏洞复现

凭据泄露的原理

首先，攻击者会通过社工，钓鱼等方式获取你主机的权限，然后再主机上进行凭据的获取，最常见的被盗数据是保存在受害者浏览器中的登录凭据。这些数据通常是加密的，但由于恶意软件可以访问整个文件系统，因此它还可以提取出来，提取出来后会转发的攻击者的c2服务器中去，最后被放到暗网等地方去进行售卖

此时，您可能想知道公司凭证是如何泄露的？ 大多数（如果不是全部）公司设备不是都受到 EDR 保护吗？
事实证明，许多员工经常通过个人设备访问公司基础设施，这些设备更容易受到威胁，因此会暴露数据。公司雇用允许员工使用个人设备的承包公司也很常见。

通过WhiteIntel搜索到微软泄露的凭据

WhiteIntel 是一个专门的搜索引擎，旨在检测由信息窃取恶意软件引起的数据泄露。
它使组织和安全团队能够识别员工和客户泄露的凭证。

像 Microsoft 这样的大公司通常拥有内部 MDR（管理、检测和响应）系统和协议，但也有像 SecureWorks 这样的商业 MSSP 提供 MDR 服务。知道这一点后，我知道简单地搜索公开的凭证可能不会产生很多结果，即使产生了，这些凭证也可能已经失效或受 MFA 保护。*.microsoft.com

转到搜索第三方微软服务

ServiceNow 是一个 IT 服务管理平台，可简化客户支持、服务请求、事件管理和 HR 流程等内部操作，并自然包含敏感信息，例如用户 PII、支持日志、票证附件、HR 文档等。
然而，在 Microsoft 的案例中，它被用作内部 ITSM，这意味着它用于内部操作，如员工入职、服务台请求、故障排除等。
在大多数 Service Now 实例中，域名是*.service-now.com，所以我使用这个查询来搜索公开的实例，WhiteIntel 也支持过滤，最后发现了属于微软的第三方域microsoft.service-now.com

结果是单个凭证。

发现登录已经被启用了SSO但未强制执行

当访问这个url的时候，我立即被重定向到 Microsoft SSO 登录页面，但从上图中可以看出，有一个关键细节 — 这意味着 SSO 已启用但未强制执行，默认登录页面仍然可用，

也就是microsoft.service-now.com``/login.do任然可以进行登录

使用泄露的凭据成功登入

使用泄露的凭据成功登入！！我看到了一个没有导航选项的空白 UI，我在不同的浏览器中尝试了，但仍然看到相同的损坏的 UI。尽管如此，我知道我已成功通过身份验证，因此我快速搜索了 ServiceNow REST API 规范，并找到了以下内容 https://docs.servicenow.com/csh?topicname=api-rest.html&version=latest

通过使用 REST API 端点，我能够确定受影响的用户不是高权限用户，但我能够访问两个关键端点：

/api/now/table/sys_user?sysparm_limit=9999&sysparm_offset=20000
/api/now/v1/attachment?sysparm_limit=999

通过它，我能够访问：

• • 数以千计的支持票证附件，其中包括敏感数据，如内部电子邮件请求、支持票证记录、事件和实时代理支持聊天。
• • 超过 250,000+ 名员工电子邮件，包括电子邮件地址等个人详细信息

从参数中可以看出，只有这个请求返回了结果。sysparam_limit``9,999

附件还包括一个下载链接，允许我下载一个文件以向 MSRC 团队提供 PoC，该文件的格式为 11 MB，包括来自内部支持票证的文字记录，包括员工入职、支持请求、事件等：xlsx

来自支持票证的附件

原文始发于微信公众号（fkalis）：【海外SRC赏金挖掘】如何通过暗网数据泄露，导致Microsoft所有员工的电子邮件、聊天支持记录和附件的泄露