成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

ExchangeAutodiscover漏洞暴露10萬Windows域憑證

2022-10-12    分類: 網(wǎng)站建設(shè)

Exchange Autodiscover漏洞暴露10萬Windows域憑證

微軟 Exchange Autodiscover設(shè)計(jì)和實(shí)現(xiàn)漏洞引發(fā)嚴(yán)重憑證泄露攻擊,數(shù)十萬Windows域憑證泄露。

Autodiscover是Microsoft Exchange用來自動配置outlook這類Exchange客戶端應(yīng)用的工具。研究人員發(fā)現(xiàn) Exchange Autodiscover協(xié)議存在設(shè)計(jì)漏洞,會引發(fā)到Autodiscover域的web請求泄露。

在配置郵件客戶端時(shí),用戶需要配置:

用戶名、密碼; 郵件或exchange服務(wù)器的hostname或IP地址。

在一些特殊情況下,還需要進(jìn)行其他的配置。本文介紹基于POX XML協(xié)議的 Autodiscover實(shí)現(xiàn)。用戶在outlook加入一個新的exchange賬戶后,用戶會收到一個彈窗要求輸入用戶名和密碼:

Exchange Autodiscover漏洞暴露10萬Windows域憑證

Microsoft Outlook自動賬號設(shè)置

用戶輸入信息后,outlook會使用 Autodiscover來配置客戶端。如下所示:

Exchange Autodiscover漏洞暴露10萬Windows域憑證

Microsoft Outlook自動賬號設(shè)置過程

在后臺Autodiscover工作過程中:

(1) 客戶端會分析用戶輸入的郵件地址——amit@example.com;

(2) 客戶端會嘗試基于用戶的郵件地址來構(gòu)造Autodiscover URL:

https://Autodiscover.example.com/Autodiscover/Autodiscover.xml http://Autodiscover.example.com/Autodiscover/Autodiscover.xml https://example.com/Autodiscover/Autodiscover.xml http://example.com/Autodiscover/Autodiscover.xml

如果以上URL都沒有回應(yīng),Autodiscover就會開始back-off過程。Back-off機(jī)制是泄露漏洞的關(guān)鍵,因?yàn)樗鼤L試解析域名的Autodiscover 部分,也就是說下一個嘗試構(gòu)造的URL是

http://Autodiscover.com/Autodiscover/Autodiscover.xml。即擁有Autodiscover.com的用戶會收到所有無法達(dá)到原始域名的請求。

Exchange Autodiscover漏洞暴露10萬Windows域憑證

Autodiscover "back-off"過程

濫用泄露

為分析 Autodiscover泄露場景的可行性,研究人員購買了以下域名:

Autodiscover.com.br – Brazil Autodiscover.com.cn – China Autodiscover.com.co – Columbia Autodiscover.es – Spain Autodiscover.fr – France Autodiscover.in – India Autodiscover.it – Italy Autodiscover.sg – Singapore Autodiscover.uk – United Kingdom Autodiscover.xyz Autodiscover.online

隨后將這些域名分配給一個web服務(wù)器,并等待不同Autodiscover終端的web 請求。隨后,研究人員收到了大量來自不同域名、IP地址和客戶端的請求。其中部分請求相對路徑/Autodiscover/Autodiscover.xml的authorization header中含有HTTP 基本認(rèn)證的憑證信息。

Exchange Autodiscover漏洞暴露10萬Windows域憑證

HTTP GET請求示例

從日志信息可以看出,hostname是Autodiscover客戶端嘗試認(rèn)證的域名,還包括了認(rèn)證使用的用戶名和密碼:

2021–05–18 03:30:45 W3SVC1 instance-2 10.142.0.4 GET /Autodiscover/Autodiscover.xml – 80 – HTTP/1.1 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.13901;+Pro) – -404 0 2 1383 301 265 2021–05–18 03:30:52 W3SVC1 instance-2 10.142.0.4 GET /Autodiscover/Autodiscover.xml – 80 – HTTP/1.1 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.13901;+Pro) – –404 0 2 1383 301 296 2021–05–18 03:30:55 W3SVC1 instance-2 10.142.0.4 GET /Autodiscover/Autodiscover.xml – 80 – HTTP/1.1 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.13901;+Pro) – –404 0 2 1383 296 328 2021–05–18 03:31:19 W3SVC1 instance-2 10.142.0.4 GET /Autodiscover/Autodiscover.xml – 80 – HTTP/1.1 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.13901;+Pro) – –404 0 2 1383 306 234

有趣的是客戶端在發(fā)送認(rèn)證的請求前并不會檢查資源是否存在。

研究人員在2021年4月16日-2021年8月25日期間通過這種方式獲取了大量的憑證信息:

Exchange Autodiscover漏洞暴露10萬Windows域憑證

當(dāng)前文章:ExchangeAutodiscover漏洞暴露10萬Windows域憑證
網(wǎng)址分享:http://jinyejixie.com/news40/204640.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供面包屑導(dǎo)航、品牌網(wǎng)站建設(shè)外貿(mào)建站、網(wǎng)站維護(hù)、小程序開發(fā)、標(biāo)簽優(yōu)化

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

綿陽服務(wù)器托管
金寨县| 岳普湖县| 太仓市| 普兰县| 清徐县| 宜兰市| 郴州市| 佳木斯市| 东阳市| 永平县| 扎鲁特旗| 苗栗县| 卢龙县| 荥阳市| 邓州市| 龙陵县| 福泉市| 刚察县| 应用必备| 唐山市| 扶沟县| 临江市| 诏安县| 扶沟县| 萍乡市| 连平县| 大冶市| 丹东市| 阳原县| 晴隆县| 青田县| 左权县| 海南省| 象山县| 镇康县| 九江县| 布拖县| 南昌县| 昆明市| 凉城县| 宁波市|