0x00 风险概述
近日,研究人员披露Microsoft Exchange Autodiscover协议存在设计缺陷,导致全球大约 100,000个 Windows域的登录名和密码被泄露,攻击者可利用这个缺陷窃取用户的windows域凭据,以用于进一步的攻击。
0x01 攻击详情
Autodiscover是Microsoft Exchange用于自动配置客户端(如Microsoft Outlook)的协议。该协议存在设计缺陷,可导致将用户的Web请求泄漏到用户域之外但位于同一 TLD 中的 Autodiscover 域(即 Autodiscover.com)。
在Autodiscover协议实现过程中,当Exchange用户将他们的电子邮件地址和密码输入电子邮件客户端(如Microsoft Outlook)后,电子邮件客户端将尝试使用Autodiscover来配置客户端。
Microsoft Outlook自动帐户设置过程
这时,客户端会分析用户输入的邮件地址(如[email protected]),并尝试基于用户的邮件地址来构造Autodiscover URL:
-
https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
-
http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
-
https://example.com/Autodiscover/Autodiscover.xml
-
http://example.com/Autodiscover/Autodiscover.xml
邮件客户端将尝试每个 URL,直到它成功通过 Microsoft Exchange 服务器的身份验证并将配置信息发送回客户端。如果客户端无法对上述 URL 进行身份验证,Autodiscover就会开始back-off过程。
Back-off过程尝试创建其它 URL 以进行身份验证,例如autodiscover.[tld] 域,其中 TLD 来自用户的电子邮件地址。在这种特殊情况下,生成的 URL 为 http://Autodiscover.com/Autodiscover/Autodiscover.xml。这意味着拥有Autodiscover.com 的人将收到所有无法到达原始域的请求。Back-off机制是导致泄露的关键,因为它会导致邮件客户端向不受信任的域(例如autodiscover.com)进行身份验证。
Autodiscover "back-off" 过程
为了测试,研究人员注册了以下域并在每个域上设置了 Web 服务器,以查看 Microsoft Exchange Autodiscover功能会泄露多少凭据:
-
Autodiscover.com.br– 巴西
-
Autodiscover.com.cn– 中国
-
Autodiscover.com.co– 哥伦比亚
-
Autodiscover.es– 西班牙
-
Autodiscover.fr– 法国
-
Autodiscover.in– 印度
-
Autodiscover.it– 意大利
-
Autodiscover.sg– 新加坡
-
Autodiscover.uk– 英国
-
Autodiscover.xyz
-
Autodiscover.online
之后,研究人员收到了大量来自不同域名、IP地址和客户端的请求(2021 年 4月 20 日- 2021 年 8 月 25 日期间)。其中包括648,976个针对其Autodiscover域名的HTTP请求,372,072个基本认证请求,96,671个独特的预认证请求。
收集的请求分布
这些请求中最值得注意的是,它们请求的相对路径是/Autodiscover/Autodiscover.xml,其authorization header已经填充了HTTP基本身份验证中的凭据。
HTTP GET 请求示例,其中authorization header已经填充了凭据
在检查这些泄露的凭据中的域时,研究人员找到了来自多个垂直领域的不同公司的凭据,包括:上市公司(中国)、食品制造商、投资银行、发电厂、电力输送、房地产、运输和物流以及时装和珠宝行业。
攻击者可以注册 autodiscover.[tld] 域并开始收集泄露的 Windows 和电子邮件凭据,以用于对组织的攻击。Microsoft正在注册Microsoft Exchange Autodiscover协议在错误实施中发送Windows凭证的Internet 域来阻止泄露,截止目前,Microsoft至少已经注册了68个与autodiscover相关的域,但autodiscover协议的修复程序尚未发布。
0x02 风险等级
高危。
0x03 影响范围
该缺陷影响了Microsoft Outlook 或其它使用Autodiscover协议的邮件客户端。
0x04 安全建议
目前Microsoft暂未提供Autodiscover协议缺陷的相关补丁及修复方式,建议参考以下缓解措施:
1、通过配置策略拦截Autodiscover协议的请求。(如在防火墙中阻止Autodiscover.com或Autodiscover.com.cn等域名)。
2、配置Exchange时禁用对基本身份验证的支持。
3、将所有可能的 Autodiscover.TLD 域列表添加到本地hosts文件或防火墙配置中,以降低解析此类Autodiscover域的风险。
Autodiscover域列表下载链接:
https://github.com/guardicore/labs_campaigns/tree/master/Autodiscover
0x05 参考链接
https://www.guardicore.com/labs/autodiscovering-the-great-leak/
https://www.bleepingcomputer.com/news/microsoft/microsoft-rushes-to-register-autodiscover-domains-leaking-credentials/
https://thehackernews.com/2021/09/microsoft-exchange-bug-exposes-100000.html
0x06 版本信息
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2021-09-26 |
首次发布 |
0x07 关于我们
关注以下公众号,获取更多资讯:
相关推荐: 【通告更新】Apache Dubbo多个高危漏洞安全风险通告
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日,奇安信CERT监测到国外安全研究人员发布了Apache Dubbo多个漏洞的相关细节,其中包含Apache Dubbo Hessian2 协议反序列化漏洞(CVE-2021-…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论