根据新的Guardicore研究,MicrosoftExchange中使用的协议Autodiscover中存在一个漏洞,该漏洞允许泄露各种Windows和Microsoft登录凭据。Exchange使用自动发现来自动配置客户端应用程序,例如MicrosoftOutlook。企业安全供应商Guardicore的安全研究区域副总裁AmitSerper在该公司专门针对该漏洞的帖子中写道,Autodiscover存在设计缺陷,导致协议将Web请求“泄漏”到用户域之外的Autodiscover域中,但是仍在同一顶级域(TLD)中,例如Autodiscover.com。Guardicore研究人员随后测试了该漏洞。Serper在博文中写道:“GuardicoreLabs获得了多个带有TLD后缀的自动发现域,并将它们设置为指向我们控制下的Web服务器。此后不久,我们检测到大量泄露的Windows域凭据到达了我们的服务器。”该供应商购买的域示例包括Autodiscover.com.br、Autodiscover.com.cn和Autodiscover.com.co;该帖子包含有关如何滥用域的大量技术细节。从4月16日到8月25日,Guardicore利用该漏洞捕获372,072个Windows域凭据和96,671个从各种应用程序泄漏的唯一凭据,例如MicrosoftOutlook、移动电子邮件客户端和其他与Windows相关的应用程序,Serper写道。连接到MicrosoftExchange服务器的应用程序。自动发现漏洞不是ShapeSecurity于2017年首次披露了核心漏洞,并于当年在亚洲黑帽大会上展示了其发现,Serper表示,当时发现CVE-2016-9940和CVE-2017-2414漏洞仅影响电子邮件客户端在移动设备上。Serper写道:“ShapeSecurity披露的漏洞已得到修补,但是,到2021年,我们将面临更大的威胁,更多的第三方应用程序将面临同样的问题。”文章提出了两种缓解措施:一种针对公众,一种针对软件开发人员和供应商。对于使用Exchange的普通公众,Guardicore建议用户在其防火墙中阻止自动发现域。Serper还表示,用户在配置Exchange设置时应该“确保禁用对基本身份验证的支持”。Serper继续说道,“使用HTTP基本身份验证相当于通过网络以明文形式发送密码。”与此同时,开发人员应确保他们不会让自动发现协议蔓延。“确保在你的产品中部署自动发现协议时,像自动发现这样的域永远不应该使用‘退避’算法来构建,”Serper说。漏洞披露争议微软批评Guardicore在发布其研究之前没有遵循漏洞披露流程。这家科技巨头与SearchSecurity分享了微软高级总监JeffJones的以下声明。琼斯写道:“我们正在积极调查并将采取适当措施保护客户。我们致力于协调漏洞披露,这是一种行业标准的协作方法,可以在问题公开之前减轻客户不必要的风险。不幸的是。是的,这个问题是在研究人员营销团队向媒体展示之前没有向我们报告,”Serper在周三晚上的一条推文中回应了该声明,该声明已发送给其他媒体。“我的报告清楚地引用了2017年提出这个问题的研究:请参阅2017年的这篇论文,如BlackHatAsia2017中所展示的那样。这不是0day,至少是1460天。微软不可能不知道这个漏洞。“
