根據新的guardicore研究，microsoft exchange中使用的協議autodiscover存在漏洞，該漏洞導致各種windows和microsoft登錄憑證遭泄漏。
exchange使用autodiscover來自動配置客戶端應用程序，例如microsoft outlook。企業安全供應商guardicore的安全研究區域副總裁amit serper在該公司專門針對該漏洞的帖子中寫道，autodiscover存在一個設計缺陷，導致該協議將web請求‘泄漏’到用戶域外的autodiscover域，但仍在同一頂級域 (tld) 中，例如 autodiscover.com。
guardicore研究人員隨后測試了該漏洞。
serper在該博客文章中寫道：“guardicore labs購得多個帶有 tld 后綴的 autodiscover 域，并將它們設置為定向到我們控制的web服務器。此后不久，我們檢測到大量泄漏的windows域憑證到達我們服務器。”
該供應商購買的域名示例包括 autodiscover.com.br、autodiscover.com.cn和 autodiscover.com.co;該帖子包含有關域名如何被濫用的大量技術細節。
serper寫道，從4月16日到8月25日，guardicore利用該漏洞捕獲 372,072 個 windows 域憑據和 96,671 個從各種應用程序泄漏的獨特憑據，例如 microsoft outlook、移動電子郵件客戶端和其他與 microsoft exchange 服務器連接的應用程序。
autodiscover漏洞并不是一個新問題。serper表示，shape security于 2017 年首次披露了該核心漏洞，并于當年在 black hat asia 上展示了調查結果。當時，cve-2016-9940 和 cve-2017-2414 漏洞被發現僅影響移動設備上的電子郵件客戶端。serper寫道：“shape security 披露的漏洞已得到修補，但是，在2021年我們面臨更大的威脅，更多第三方應用程序面臨相同的問題?！?br>該文章提出了兩種緩解措施：一種針對公眾，一種針對軟件開發人員和供應商。
對于使用exchange的普通公眾，guardicore 建議用戶在其防火墻中阻止autodiscover域。 serper 還表示，在配置 exchange 設置時，用戶應該“確保禁用對基本身份驗證的支持”。serper 繼續說道，“使用 http 基本身份驗證相當于通過網絡以明文形式發送密碼?！?br>與此同時，開發人員應該確保他們不會讓autodiscover協議蔓延。
serper稱：“請確保在你的產品中部署autodiscover協議時，即autodiscover等域永遠不應該由‘退避’算法構建。”
漏洞披露糾紛微軟批評 guardicore 在發布其研究之前沒有遵循漏洞披露流程。這家科技巨頭與 searchsecurity分享了以下聲明，來自微軟高級總監jeff jones。
jones 寫到：“我們正在積極調查，并將采取適當措施保護客戶。我們致力于協調漏洞披露，這是一種行業標準的協作方法，可在問題公開之前為客戶降低不必要的風險。不幸的是，在研究人員營銷團隊向媒體展示此問題之前并未向我們報告此問題?！?br>serper 在周三晚上的一條推文中回應了這一聲明，該聲明已發送給其他媒體。
他表示：“我的報告清楚地引用了2017 年提出這個問題的研究：請參閱 2017 年的這篇論文，正如 black hat asia 2017 中提出的那樣。這不是0day，這已經過了1460天，至少。微軟不可能不知道這個漏洞。”
原文地址：https://searchsecurity.techtarget.com.cn/11-26476/


黃岡網站建設中公司簡介應該注意哪幾點
打造獨具匠心的網站，河南網站制作讓您的品牌脫穎而出！
1688排名優化常見問題解答
網站定制開發的4個要素
網站建設選擇備案不備案有何區別呢？
想學習網站建設都需要學習哪些知識
b2C商城或者企業商城應該如何推廣-網站建設
如何將訪客轉化為潛在客戶？這個8個網站優化策略了解下