MicrosoftExchange中的Autodiscover漏洞泄露大量憑證
發(fā)布時(shí)間:2025-06-02 點(diǎn)擊:21
根據(jù)新的guardicore研究,microsoft exchange中使用的協(xié)議autodiscover存在漏洞,該漏洞導(dǎo)致各種windows和microsoft登錄憑證遭泄漏。
exchange使用autodiscover來(lái)自動(dòng)配置客戶端應(yīng)用程序,例如microsoft outlook。企業(yè)安全供應(yīng)商guardicore的安全研究區(qū)域副總裁amit serper在該公司專(zhuān)門(mén)針對(duì)該漏洞的帖子中寫(xiě)道,autodiscover存在一個(gè)設(shè)計(jì)缺陷,導(dǎo)致該協(xié)議將web請(qǐng)求‘泄漏’到用戶域外的autodiscover域,但仍在同一頂級(jí)域 (tld) 中,例如 autodiscover.com。
guardicore研究人員隨后測(cè)試了該漏洞。
serper在該博客文章中寫(xiě)道:“guardicore labs購(gòu)得多個(gè)帶有 tld 后綴的 autodiscover 域,并將它們?cè)O(shè)置為定向到我們控制的web服務(wù)器。此后不久,我們檢測(cè)到大量泄漏的windows域憑證到達(dá)我們服務(wù)器。”
該供應(yīng)商購(gòu)買(mǎi)的域名示例包括 autodiscover.com.br、autodiscover.com.cn和 autodiscover.com.co;該帖子包含有關(guān)域名如何被濫用的大量技術(shù)細(xì)節(jié)。
serper寫(xiě)道,從4月16日到8月25日,guardicore利用該漏洞捕獲 372,072 個(gè) windows 域憑據(jù)和 96,671 個(gè)從各種應(yīng)用程序泄漏的獨(dú)特憑據(jù),例如 microsoft outlook、移動(dòng)電子郵件客戶端和其他與 microsoft exchange 服務(wù)器連接的應(yīng)用程序。
autodiscover漏洞并不是一個(gè)新問(wèn)題。serper表示,shape security于 2017 年首次披露了該核心漏洞,并于當(dāng)年在 black hat asia 上展示了調(diào)查結(jié)果。當(dāng)時(shí),cve-2016-9940 和 cve-2017-2414 漏洞被發(fā)現(xiàn)僅影響移動(dòng)設(shè)備上的電子郵件客戶端。serper寫(xiě)道:“shape security 披露的漏洞已得到修補(bǔ),但是,在2021年我們面臨更大的威脅,更多第三方應(yīng)用程序面臨相同的問(wèn)題。”
該文章提出了兩種緩解措施:一種針對(duì)公眾,一種針對(duì)軟件開(kāi)發(fā)人員和供應(yīng)商。
對(duì)于使用exchange的普通公眾,guardicore 建議用戶在其防火墻中阻止autodiscover域。 serper 還表示,在配置 exchange 設(shè)置時(shí),用戶應(yīng)該“確保禁用對(duì)基本身份驗(yàn)證的支持”。serper 繼續(xù)說(shuō)道,“使用 http 基本身份驗(yàn)證相當(dāng)于通過(guò)網(wǎng)絡(luò)以明文形式發(fā)送密碼。”
與此同時(shí),開(kāi)發(fā)人員應(yīng)該確保他們不會(huì)讓autodiscover協(xié)議蔓延。
serper稱(chēng):“請(qǐng)確保在你的產(chǎn)品中部署autodiscover協(xié)議時(shí),即autodiscover等域永遠(yuǎn)不應(yīng)該由‘退避’算法構(gòu)建。”
漏洞披露糾紛微軟批評(píng) guardicore 在發(fā)布其研究之前沒(méi)有遵循漏洞披露流程。這家科技巨頭與 searchsecurity分享了以下聲明,來(lái)自微軟高級(jí)總監(jiān)jeff jones。
jones 寫(xiě)到:“我們正在積極調(diào)查,并將采取適當(dāng)措施保護(hù)客戶。我們致力于協(xié)調(diào)漏洞披露,這是一種行業(yè)標(biāo)準(zhǔn)的協(xié)作方法,可在問(wèn)題公開(kāi)之前為客戶降低不必要的風(fēng)險(xiǎn)。不幸的是,在研究人員營(yíng)銷(xiāo)團(tuán)隊(duì)向媒體展示此問(wèn)題之前并未向我們報(bào)告此問(wèn)題。”
serper 在周三晚上的一條推文中回應(yīng)了這一聲明,該聲明已發(fā)送給其他媒體。
他表示:“我的報(bào)告清楚地引用了2017 年提出這個(gè)問(wèn)題的研究:請(qǐng)參閱 2017 年的這篇論文,正如 black hat asia 2017 中提出的那樣。這不是0day,這已經(jīng)過(guò)了1460天,至少。微軟不可能不知道這個(gè)漏洞。”
原文地址:https://searchsecurity.techtarget.com.cn/11-26476/
黃岡網(wǎng)站建設(shè)中公司簡(jiǎn)介應(yīng)該注意哪幾點(diǎn)
打造獨(dú)具匠心的網(wǎng)站,河南網(wǎng)站制作讓您的品牌脫穎而出!
1688排名優(yōu)化常見(jiàn)問(wèn)題解答
網(wǎng)站定制開(kāi)發(fā)的4個(gè)要素
網(wǎng)站建設(shè)選擇備案不備案有何區(qū)別呢?
想學(xué)習(xí)網(wǎng)站建設(shè)都需要學(xué)習(xí)哪些知識(shí)
b2C商城或者企業(yè)商城應(yīng)該如何推廣-網(wǎng)站建設(shè)
如何將訪客轉(zhuǎn)化為潛在客戶?這個(gè)8個(gè)網(wǎng)站優(yōu)化策略了解下
exchange使用autodiscover來(lái)自動(dòng)配置客戶端應(yīng)用程序,例如microsoft outlook。企業(yè)安全供應(yīng)商guardicore的安全研究區(qū)域副總裁amit serper在該公司專(zhuān)門(mén)針對(duì)該漏洞的帖子中寫(xiě)道,autodiscover存在一個(gè)設(shè)計(jì)缺陷,導(dǎo)致該協(xié)議將web請(qǐng)求‘泄漏’到用戶域外的autodiscover域,但仍在同一頂級(jí)域 (tld) 中,例如 autodiscover.com。
guardicore研究人員隨后測(cè)試了該漏洞。
serper在該博客文章中寫(xiě)道:“guardicore labs購(gòu)得多個(gè)帶有 tld 后綴的 autodiscover 域,并將它們?cè)O(shè)置為定向到我們控制的web服務(wù)器。此后不久,我們檢測(cè)到大量泄漏的windows域憑證到達(dá)我們服務(wù)器。”
該供應(yīng)商購(gòu)買(mǎi)的域名示例包括 autodiscover.com.br、autodiscover.com.cn和 autodiscover.com.co;該帖子包含有關(guān)域名如何被濫用的大量技術(shù)細(xì)節(jié)。
serper寫(xiě)道,從4月16日到8月25日,guardicore利用該漏洞捕獲 372,072 個(gè) windows 域憑據(jù)和 96,671 個(gè)從各種應(yīng)用程序泄漏的獨(dú)特憑據(jù),例如 microsoft outlook、移動(dòng)電子郵件客戶端和其他與 microsoft exchange 服務(wù)器連接的應(yīng)用程序。
autodiscover漏洞并不是一個(gè)新問(wèn)題。serper表示,shape security于 2017 年首次披露了該核心漏洞,并于當(dāng)年在 black hat asia 上展示了調(diào)查結(jié)果。當(dāng)時(shí),cve-2016-9940 和 cve-2017-2414 漏洞被發(fā)現(xiàn)僅影響移動(dòng)設(shè)備上的電子郵件客戶端。serper寫(xiě)道:“shape security 披露的漏洞已得到修補(bǔ),但是,在2021年我們面臨更大的威脅,更多第三方應(yīng)用程序面臨相同的問(wèn)題。”
該文章提出了兩種緩解措施:一種針對(duì)公眾,一種針對(duì)軟件開(kāi)發(fā)人員和供應(yīng)商。
對(duì)于使用exchange的普通公眾,guardicore 建議用戶在其防火墻中阻止autodiscover域。 serper 還表示,在配置 exchange 設(shè)置時(shí),用戶應(yīng)該“確保禁用對(duì)基本身份驗(yàn)證的支持”。serper 繼續(xù)說(shuō)道,“使用 http 基本身份驗(yàn)證相當(dāng)于通過(guò)網(wǎng)絡(luò)以明文形式發(fā)送密碼。”
與此同時(shí),開(kāi)發(fā)人員應(yīng)該確保他們不會(huì)讓autodiscover協(xié)議蔓延。
serper稱(chēng):“請(qǐng)確保在你的產(chǎn)品中部署autodiscover協(xié)議時(shí),即autodiscover等域永遠(yuǎn)不應(yīng)該由‘退避’算法構(gòu)建。”
漏洞披露糾紛微軟批評(píng) guardicore 在發(fā)布其研究之前沒(méi)有遵循漏洞披露流程。這家科技巨頭與 searchsecurity分享了以下聲明,來(lái)自微軟高級(jí)總監(jiān)jeff jones。
jones 寫(xiě)到:“我們正在積極調(diào)查,并將采取適當(dāng)措施保護(hù)客戶。我們致力于協(xié)調(diào)漏洞披露,這是一種行業(yè)標(biāo)準(zhǔn)的協(xié)作方法,可在問(wèn)題公開(kāi)之前為客戶降低不必要的風(fēng)險(xiǎn)。不幸的是,在研究人員營(yíng)銷(xiāo)團(tuán)隊(duì)向媒體展示此問(wèn)題之前并未向我們報(bào)告此問(wèn)題。”
serper 在周三晚上的一條推文中回應(yīng)了這一聲明,該聲明已發(fā)送給其他媒體。
他表示:“我的報(bào)告清楚地引用了2017 年提出這個(gè)問(wèn)題的研究:請(qǐng)參閱 2017 年的這篇論文,正如 black hat asia 2017 中提出的那樣。這不是0day,這已經(jīng)過(guò)了1460天,至少。微軟不可能不知道這個(gè)漏洞。”
原文地址:https://searchsecurity.techtarget.com.cn/11-26476/
黃岡網(wǎng)站建設(shè)中公司簡(jiǎn)介應(yīng)該注意哪幾點(diǎn)
打造獨(dú)具匠心的網(wǎng)站,河南網(wǎng)站制作讓您的品牌脫穎而出!
1688排名優(yōu)化常見(jiàn)問(wèn)題解答
網(wǎng)站定制開(kāi)發(fā)的4個(gè)要素
網(wǎng)站建設(shè)選擇備案不備案有何區(qū)別呢?
想學(xué)習(xí)網(wǎng)站建設(shè)都需要學(xué)習(xí)哪些知識(shí)
b2C商城或者企業(yè)商城應(yīng)該如何推廣-網(wǎng)站建設(shè)
如何將訪客轉(zhuǎn)化為潛在客戶?這個(gè)8個(gè)網(wǎng)站優(yōu)化策略了解下