该协议是 Exchange 电子邮件服务器的一个重要部分,允许管理员以一种简单的方式确保客户使用正确的 SMTP、IMAP、LDAP、WebDAV 和其他设置;允许电子邮件客户自动发现电子邮件服务器,提供凭证,然后接收适当的配置。
但为了获得这些自动配置,电子邮件客户通常会 ping 一系列预先确定的 URL,这些 URL 来自用户的电子邮件地址域
● https://autodiscover.example.com/autodiscover/autodiscover.xml
● http://autodiscover.example.com/autodiscover/autodiscover.xml
● https://example.com/autodiscover/autodiscover.xml
● http://example.com/autodiscover/autodiscover.xml
Serper 表示他发现 Autodiscover 机制使用了“back-off”(回避)程序,以防它在第一次尝试时没有找到 Exchange 服务器的 Autodiscover 端点。他表示:
这个“回避”机制是这个泄漏的罪魁祸首,因为它总是试图解决域的自动发现部分,它总是试图“失败”。意思是说,下一次试图建立一个自动发现的 URL 的结果将是:http://autodiscover.com/autodiscover/autodiscover.xml。这意味着谁拥有 autodiscover.com,谁就会收到所有无法到达原始域名的请求。
根据他的发现,Serper 说他注册了一系列基于 Autodiscover 的顶级域名,这些域名在网上仍然可用。这包括:
● Autodiscover.com.br – 巴西
● Autodiscover.com.cn – 中国
● Autodiscover.com.co–哥伦比亚
● Autodiscover.es – 西班牙
● Autodiscover.fr – 法国
● Autodiscover.in – 印度
● Autodiscover.it – 意大利
● Autodiscover.sg – 新加坡
● Autodiscover.uk – 英国
● Autodiscover.xyz
● Autodiscover.online
该研究人员说,Guardicore 在这些服务器上运行蜜罐,以了解问题的规模。在 2021 年 4 月 16 日至 2021 年 8 月 25 日之间的四个多月里,Serper 说这些服务器收到了数百个请求,其中有成千上万的凭证,这些用户试图设置他们的电子邮件客户端,但他们的电子邮件客户端未能找到他们雇主的适当 Autodiscover 端点。
Serper 在今天发表的一份报告中解释说:“我们收到的大量请求的有趣问题是,在发送认证请求之前,客户端没有尝试检查资源是否可用,甚至在服务器上是否存在。Guardicore 已经捕获了 372,072 个 Windows 域证书和 96,671 个来自微软 Outlook 等各种应用程序的独特证书”。
在筛选到连接到他们的蜜罐的域名时,Serper 说他发现了来自多个垂直行业的公司的凭证,例如。
● 食品制造商
● 投资银行
● 电厂
● 电力输送
● 房地产
● 航运和物流
● 时尚和珠宝
所有收集到的凭证都是通过未加密的HTTP基本认证连接,但Serper在今天的报告中也详细介绍了从更安全的认证形式(如NTLM和Oauth)收集凭证的方法。虽然 Serper 提供了一些缓解措施,以防止系统管理员和电子邮件软件制造商的这些泄漏,但微软方面也需要对 Autodiscover 协议设计进行更新。
微软就 Guardicore 的发现发表了以下评论。
我们正在积极调查,并将采取适当的措施来保护客户。我们致力于协调漏洞披露,这是一种行业标准的合作方式,可以在问题公开之前为客户减少不必要的风险。不幸的是,在研究人员营销团队向媒体介绍这个问题之前,没有向我们报告这个问题,所以我们今天才知道这个说法。
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/168558.html