Exchange Autodiscover凭据泄露风险提示

影响Microsoft Outlook 或其他使用Autodiscover协议的邮件客户端

Autodiscover 是 Microsoft Exchange 用于自动配置Outlook 等客户端的协议，该协议的作用是让用户能够仅通过提供用户名和密码来完全配置用户的 Outlook 客户端，并将其余的配置留给 Microsoft Exchange 的Autodiscover协议来自动完成。该设计存在缺陷，可导致将用户Web请求泄漏到用户域之外但位于同一 TLD 中的 Autodiscover 域（即 Autodiscover.com ）。由于 Microsoft Exchange 是解决方案“Microsoft 域套件”的一部分，因此登录到基于 Exchange 的收件箱所需的凭据在大多数情况下是他们的域凭据，这可能导致用户的windows域凭据泄漏。

Autodiscover协议过程：

1.用户将新的 Microsoft Exchange 帐户添加到Outlook后，用户按照要求输入用户名和密码完成配置。

2.客户端解析由用户提供的电子邮件地址，如[email protected]。

3.然后，客户端尝试使用以下格式基于电子邮件地址构建Autodiscover URL：

https://Autodiscover.example.com/Autodiscover/Autodiscover.xmlhttp://Autodiscover.example.com/Autodiscover/Autodiscover.xmlhttps://example.com/Autodiscover/Autodiscover.xmlhttp://example.com/Autodiscover/Autodiscover.xml

如果这些 URL 都没有响应，Autodiscover将启动其“退避”机制，这种“退避”机制的缺陷是这次泄漏的罪魁祸首，因为它总是试图解决域的Autodiscover部分，并且当尝试失败时，下一次尝试构建Autodiscover URL 的结果将是：http://Autodiscover.com/Autodiscover/Autodiscover.xml。这意味着拥有Autodiscover.com 的人将收到所有无法到达原始域的请求。值得注意的是，它们请求/Autodiscover/Autodiscover.xml中Authorization头已经填充了 HTTP 基本身份验证中的凭据。

一个简单的 HTTP GET 请求示例，其中Authorization头已经填充了凭据

Autodiscover.com.cn域名并非微软官方提供，国外安全研究员注册过以下域名来监测凭据泄漏情况：

Autodiscover.com.br – 巴西Autodiscover.com.cn – 中国Autodiscover.com.co – 哥伦比亚Autodiscover.es – 西班牙Autodiscover.fr – 法国Autodiscover.in – 印度Autodiscover.it – 意大利Autodiscover.sg – 新加坡Autodiscover.uk – 英国Autodiscover.xyzAutodiscover.online

高危：目前部分漏洞细节已经公开，建议使用Outlook客户端的用户尽快采取缓解措施。

目前微软暂未提供相关补丁及修复方式，可参考以下措施进行临时缓解：

1、通过配置网络策略拦截Autodiscover协议的请求（如在防火墙设备中封禁Autodiscover.com/Autodiscover.com.cn等域名）；

2、配置Exchange设置时禁用对HTTP基础认证的支持；

3、配置本地hosts，将所有可能的autodiscover.[tld] 域解析为 127.0.0.1，以防止凭据泄漏到您的网络之外。

hosts配置可参考：

https://github.com/guardicore/labs_campaigns/tree/master/Autodiscover

安恒应急响应中心

2021年09月