MicrosoftExchange中的Autodiscover漏洞泄露大量凭证
发布时间:2025-06-02 点击:7
根据新的guardicore研究,microsoft exchange中使用的协议autodiscover存在漏洞,该漏洞导致各种windows和microsoft登录凭证遭泄漏。
exchange使用autodiscover来自动配置客户端应用程序,例如microsoft outlook。企业安全供应商guardicore的安全研究区域副总裁amit serper在该公司专门针对该漏洞的帖子中写道,autodiscover存在一个设计缺陷,导致该协议将web请求‘泄漏’到用户域外的autodiscover域,但仍在同一顶级域 (tld) 中,例如 autodiscover.com。
guardicore研究人员随后测试了该漏洞。
serper在该博客文章中写道:“guardicore labs购得多个带有 tld 后缀的 autodiscover 域,并将它们设置为定向到我们控制的web服务器。此后不久,我们检测到大量泄漏的windows域凭证到达我们服务器。”
该供应商购买的域名示例包括 autodiscover.com.br、autodiscover.com.cn和 autodiscover.com.co;该帖子包含有关域名如何被滥用的大量技术细节。
serper写道,从4月16日到8月25日,guardicore利用该漏洞捕获 372,072 个 windows 域凭据和 96,671 个从各种应用程序泄漏的独特凭据,例如 microsoft outlook、移动电子邮件客户端和其他与 microsoft exchange 服务器连接的应用程序。
autodiscover漏洞并不是一个新问题。serper表示,shape security于 2017 年首次披露了该核心漏洞,并于当年在 black hat asia 上展示了调查结果。当时,cve-2016-9940 和 cve-2017-2414 漏洞被发现仅影响移动设备上的电子邮件客户端。serper写道:“shape security 披露的漏洞已得到修补,但是,在2021年我们面临更大的威胁,更多第三方应用程序面临相同的问题。”
该文章提出了两种缓解措施:一种针对公众,一种针对软件开发人员和供应商。
对于使用exchange的普通公众,guardicore 建议用户在其防火墙中阻止autodiscover域。 serper 还表示,在配置 exchange 设置时,用户应该“确保禁用对基本身份验证的支持”。serper 继续说道,“使用 http 基本身份验证相当于通过网络以明文形式发送密码。”
与此同时,开发人员应该确保他们不会让autodiscover协议蔓延。
serper称:“请确保在你的产品中部署autodiscover协议时,即autodiscover等域永远不应该由‘退避’算法构建。”
漏洞披露纠纷微软批评 guardicore 在发布其研究之前没有遵循漏洞披露流程。这家科技巨头与 searchsecurity分享了以下声明,来自微软高级总监jeff jones。
jones 写到:“我们正在积极调查,并将采取适当措施保护客户。我们致力于协调漏洞披露,这是一种行业标准的协作方法,可在问题公开之前为客户降低不必要的风险。不幸的是,在研究人员营销团队向媒体展示此问题之前并未向我们报告此问题。”
serper 在周三晚上的一条推文中回应了这一声明,该声明已发送给其他媒体。
他表示:“我的报告清楚地引用了2017 年提出这个问题的研究:请参阅 2017 年的这篇论文,正如 black hat asia 2017 中提出的那样。这不是0day,这已经过了1460天,至少。微软不可能不知道这个漏洞。”
原文地址:https://searchsecurity.techtarget.com.cn/11-26476/
黄冈网站建设中公司简介应该注意哪几点
打造独具匠心的网站,河南网站制作让您的品牌脱颖而出!
1688排名优化常见问题解答
网站定制开发的4个要素
网站建设选择备案不备案有何区别呢?
想学习网站建设都需要学习哪些知识
b2C商城或者企业商城应该如何推广-网站建设
如何将访客转化为潜在客户?这个8个网站优化策略了解下
exchange使用autodiscover来自动配置客户端应用程序,例如microsoft outlook。企业安全供应商guardicore的安全研究区域副总裁amit serper在该公司专门针对该漏洞的帖子中写道,autodiscover存在一个设计缺陷,导致该协议将web请求‘泄漏’到用户域外的autodiscover域,但仍在同一顶级域 (tld) 中,例如 autodiscover.com。
guardicore研究人员随后测试了该漏洞。
serper在该博客文章中写道:“guardicore labs购得多个带有 tld 后缀的 autodiscover 域,并将它们设置为定向到我们控制的web服务器。此后不久,我们检测到大量泄漏的windows域凭证到达我们服务器。”
该供应商购买的域名示例包括 autodiscover.com.br、autodiscover.com.cn和 autodiscover.com.co;该帖子包含有关域名如何被滥用的大量技术细节。
serper写道,从4月16日到8月25日,guardicore利用该漏洞捕获 372,072 个 windows 域凭据和 96,671 个从各种应用程序泄漏的独特凭据,例如 microsoft outlook、移动电子邮件客户端和其他与 microsoft exchange 服务器连接的应用程序。
autodiscover漏洞并不是一个新问题。serper表示,shape security于 2017 年首次披露了该核心漏洞,并于当年在 black hat asia 上展示了调查结果。当时,cve-2016-9940 和 cve-2017-2414 漏洞被发现仅影响移动设备上的电子邮件客户端。serper写道:“shape security 披露的漏洞已得到修补,但是,在2021年我们面临更大的威胁,更多第三方应用程序面临相同的问题。”
该文章提出了两种缓解措施:一种针对公众,一种针对软件开发人员和供应商。
对于使用exchange的普通公众,guardicore 建议用户在其防火墙中阻止autodiscover域。 serper 还表示,在配置 exchange 设置时,用户应该“确保禁用对基本身份验证的支持”。serper 继续说道,“使用 http 基本身份验证相当于通过网络以明文形式发送密码。”
与此同时,开发人员应该确保他们不会让autodiscover协议蔓延。
serper称:“请确保在你的产品中部署autodiscover协议时,即autodiscover等域永远不应该由‘退避’算法构建。”
漏洞披露纠纷微软批评 guardicore 在发布其研究之前没有遵循漏洞披露流程。这家科技巨头与 searchsecurity分享了以下声明,来自微软高级总监jeff jones。
jones 写到:“我们正在积极调查,并将采取适当措施保护客户。我们致力于协调漏洞披露,这是一种行业标准的协作方法,可在问题公开之前为客户降低不必要的风险。不幸的是,在研究人员营销团队向媒体展示此问题之前并未向我们报告此问题。”
serper 在周三晚上的一条推文中回应了这一声明,该声明已发送给其他媒体。
他表示:“我的报告清楚地引用了2017 年提出这个问题的研究:请参阅 2017 年的这篇论文,正如 black hat asia 2017 中提出的那样。这不是0day,这已经过了1460天,至少。微软不可能不知道这个漏洞。”
原文地址:https://searchsecurity.techtarget.com.cn/11-26476/
黄冈网站建设中公司简介应该注意哪几点
打造独具匠心的网站,河南网站制作让您的品牌脱颖而出!
1688排名优化常见问题解答
网站定制开发的4个要素
网站建设选择备案不备案有何区别呢?
想学习网站建设都需要学习哪些知识
b2C商城或者企业商城应该如何推广-网站建设
如何将访客转化为潜在客户?这个8个网站优化策略了解下
上一篇:重庆网站建设公司做网站需要多少钱
下一篇:网站建设制作如何给客户报价