根據(jù)新的Guardicore研究，Microsoft Exchange中使用的協(xié)議Autodiscover存在漏洞，該漏洞導(dǎo)致各種Windows和Microsoft登錄憑證遭泄漏。

Exchange使用Autodiscover來(lái)自動(dòng)配置客戶(hù)端應(yīng)用程序，例如Microsoft Outlook。企業(yè)安全供應(yīng)商Guardicore的安全研究區(qū)域副總裁Amit Serper在該公司專(zhuān)門(mén)針對(duì)該漏洞的帖子中寫(xiě)道，Autodiscover存在一個(gè)設(shè)計(jì)缺陷，導(dǎo)致該協(xié)議將Web請(qǐng)求‘泄漏’到用戶(hù)域外的Autodiscover域，但仍在同一頂級(jí)域 (TLD) 中，例如 Autodiscover.com。

Guardicore研究人員隨后測(cè)試了該漏洞。

Serper在該博客文章中寫(xiě)道：“Guardicore Labs購(gòu)得多個(gè)帶有 TLD 后綴的 Autodiscover 域，并將它們?cè)O(shè)置為定向到我們控制的Web服務(wù)器。此后不久，我們檢測(cè)到大量泄漏的Windows域憑證到達(dá)我們服務(wù)器?！?/p>

該供應(yīng)商購(gòu)買(mǎi)的域名示例包括 Autodiscover.com.br、Autodiscover.com.cn和 Autodiscover.com.co;該帖子包含有關(guān)域名如何被濫用的大量技術(shù)細(xì)節(jié)。

Serper寫(xiě)道，從4月16日到8月25日，Guardicore利用該漏洞捕獲 372,072 個(gè) Windows 域憑據(jù)和 96,671 個(gè)從各種應(yīng)用程序泄漏的獨(dú)特憑據(jù)，例如 Microsoft Outlook、移動(dòng)電子郵件客戶(hù)端和其他與 Microsoft Exchange 服務(wù)器連接的應(yīng)用程序。

Autodiscover漏洞并不是一個(gè)新問(wèn)題。Serper表示，Shape Security于 2017 年首次披露了該核心漏洞，并于當(dāng)年在 Black Hat Asia 上展示了調(diào)查結(jié)果。當(dāng)時(shí)，CVE-2016-9940 和 CVE-2017-2414 漏洞被發(fā)現(xiàn)僅影響移動(dòng)設(shè)備上的電子郵件客戶(hù)端。Serper寫(xiě)道：“Shape Security 披露的漏洞已得到修補(bǔ)，但是，在2021年我們面臨更大的威脅，更多第三方應(yīng)用程序面臨相同的問(wèn)題?！?/p>

該文章提出了兩種緩解措施：一種針對(duì)公眾，一種針對(duì)軟件開(kāi)發(fā)人員和供應(yīng)商。

對(duì)于使用Exchange的普通公眾，Guardicore 建議用戶(hù)在其防火墻中阻止Autodiscover域。 Serper 還表示，在配置 Exchange 設(shè)置時(shí)，用戶(hù)應(yīng)該“確保禁用對(duì)基本身份驗(yàn)證的支持”。Serper 繼續(xù)說(shuō)道，“使用 HTTP 基本身份驗(yàn)證相當(dāng)于通過(guò)網(wǎng)絡(luò)以明文形式發(fā)送密碼?！?/p>

與此同時(shí)，開(kāi)發(fā)人員應(yīng)該確保他們不會(huì)讓Autodiscover協(xié)議蔓延。

Serper稱(chēng)：“請(qǐng)確保在你的產(chǎn)品中部署Autodiscover協(xié)議時(shí)，即Autodiscover等域永遠(yuǎn)不應(yīng)該由‘退避’算法構(gòu)建?！?/p> 漏洞披露糾紛

微軟批評(píng) Guardicore 在發(fā)布其研究之前沒(méi)有遵循漏洞披露流程。這家科技巨頭與 SearchSecurity分享了以下聲明，來(lái)自微軟高級(jí)總監(jiān)Jeff Jones。

Jones 寫(xiě)到：“我們正在積極調(diào)查，并將采取適當(dāng)措施保護(hù)客戶(hù)。我們致力于協(xié)調(diào)漏洞披露，這是一種行業(yè)標(biāo)準(zhǔn)的協(xié)作方法，可在問(wèn)題公開(kāi)之前為客戶(hù)降低不必要的風(fēng)險(xiǎn)。不幸的是，在研究人員營(yíng)銷(xiāo)團(tuán)隊(duì)向媒體展示此問(wèn)題之前并未向我們報(bào)告此問(wèn)題?！?/p>

Serper 在周三晚上的一條推文中回應(yīng)了這一聲明，該聲明已發(fā)送給其他媒體。

他表示：“我的報(bào)告清楚地引用了2017 年提出這個(gè)問(wèn)題的研究：請(qǐng)參閱 2017 年的這篇論文，正如 Black Hat Asia 2017 中提出的那樣。這不是0day，這已經(jīng)過(guò)了1460天，至少。微軟不可能不知道這個(gè)漏洞?！?/p>

原文地址：https://searchsecurity.techtarget.com.cn/11-26476/

本文題目：MicrosoftExchange中的Autodiscover漏洞泄露大量憑證
鏈接分享：http://jinyejixie.com/news4/203854.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供商城網(wǎng)站、網(wǎng)站維護(hù)、做網(wǎng)站、搜索引擎優(yōu)化、網(wǎng)站改版、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)