Microsoft Exchange 的自動發現功能實施中的缺陷已經泄露了全球大約100,000個 Windows域的登錄名和密碼。
在 Guardicore的安全研究副總裁Amit Serper的一份新報告中,研究人員揭示了自動發現協議的錯誤實施(而不是Microsoft Exchange中的錯誤)如何導致Windows證書被發送到第三方不受信任的網站。
在討論問題之前,先來快速了解一下Microsoft Exchange的自動發現協議以及它是如何實現的。
什么是 Microsoft Exchange 自動發現
Microsoft Exchange使用自動發現功能自動配置用戶的郵件客戶端(如Microsoft Outlook)及其組織的預定義郵件設置。
當Exchange用戶在電子郵件客戶端(如Microsoft Outlook)中輸入他們的電子郵件地址和密碼時,郵件客戶端將嘗試對各種Exchange自動發現url進行身份驗證。
在此認證過程中,登錄名和密碼會自動發送到“自動發現URL”。
將連接到的自動發現url來自客戶端中配置的電子郵件地址。
例如,當Serper使用電子郵件“amit@example.com”測試自動發現功能時,他發現郵件客戶端試圖驗證以下自動發現url:
Autodiscover.example.com/Autodiscove…
Autodiscover.example.com/Autodiscove…
郵件客戶端將嘗試每個 URL,直到它成功通過 Microsoft Exchange 服務器的身份驗證并將配置信息發送回客戶端。
將憑據泄漏到外部域
如果客戶端無法對上述 URL 進行身份驗證,Serper 發現某些郵件客戶端(包括 Microsoft Outlook)將執行“后退”程序。此過程嘗試創建其他URL以進行身份驗證,例如 autodiscover.[tld] 域,其中 TLD 來自用戶的電子郵件地址。
在本例中,生成的URL是Autodiscover.com/Autodiscove…
自動發現協議的這種錯誤實現導致郵件客戶端向不受信任的域(例如 autodiscover.com)進行身份驗證,這就是問題的開始。
由于電子郵件用戶所在的組織不擁有此域,并且憑據會自動發送到URL,因此域所有者可以收集發送給他們的任何憑據。
為了對此進行測試,Guardicore 注冊了以下域并在每個域上設置了 Web 服務器,以查看 Microsoft Exchange 自動發現功能會泄露多少憑據。
Autodiscover.com.br - 巴西
Autodiscover.com.cn - 中國
Autodiscover.com.co - 哥倫比亞
Autodiscover.es - 西班牙
Autodiscover.fr - 法國
Autodiscover.in - 印度
Autodiscover.it - 意大利
Autodiscover.sg - 新加坡
Autodiscover.uk - 英國
自動發現.xyz
Autodiscover.online
注冊并使用這些域后,Serper發現電子郵件客戶端(包括 Microsoft Outlook)使用基本身份驗證發送了許多帳戶憑據,從而使它們易于查看。
對于使用NTLM和Oauth發送憑據的Microsoft Outlook客戶端,Serper創建了一種稱為“The ol switcheroo”的攻擊,強制客戶端將請求降級為基本身份驗證請求。
這將再次允許研究人員訪問用戶的明文密碼。
在2021年4月20日至2021年8月25日期間進行這些測試時,Guardicore服務器收到:
648,976 個針對其自動發現域的 HTTP 請求。
372,072 個基本身份驗證請求。
96,671 個唯一預認證請求。
Guardicore 表示,發送其憑據的域包括:
在中國市場上市的公司
食品制造商
投資銀行
發電廠
電力輸送
房地產
航運和物流
時裝和珠寶
緩解Microsoft Exchange自動發現泄露
根據Serper建議,企業和開發人員可以使用這些建議來緩解這些Microsoft Exchange 自動發現泄露。
對于使用 Microsoft Exchange 的組織,應盡可能阻止所有自動發現。建議禁用基本身份驗證,因為它實際上是以明文形式發送憑證。
對于軟件開發人員,Serper 建議用戶在構建自動發現URL時防止他們的郵件客戶端向上出錯,這樣他們就不會連接到Autodiscover.[tld]域。
微軟發言人表示,目前正在積極采取措施保護使用者,并致力于漏洞披露問題以降低客戶不必要的風險。
Serper表示,許多開發人員只是使用都存在相同問題的第三方庫,在使用是并未關注是否存在安全風險。當前軟件開發離不開第三方庫的使用,但其中的風險問題卻一直存在。
當應用程序中的第三代碼方庫存在安全漏洞時,對企業來說后果可能很嚴重。首先,違規風險可能會更高,其次是增加了補丁的復雜性。漏洞時間越長修補就越復雜,打補丁所需的時間就越長,破壞應用程序的風險也就越大。
對于既是直接依賴又是傳遞依賴的庫,修補可能需要長達 2.5 倍的時間。這同樣適用于復雜的漏洞,例如任意代碼執行缺陷,與典型問題相比,修復這些漏洞可能需要兩倍的時間。遠程代碼執行和拒絕服務錯誤也需要更長的時間來解決。
為了提高網絡抵御風險能力,在軟件開發期間不斷通過靜態代碼檢測時時發現缺陷并修復,可以降低安全漏洞,大大提高軟件安全性。在網絡世界危機四伏的今天,靜態代碼安全檢測已成為繼防火墻、殺毒軟件和入侵檢測后,網絡安全防護的又一有效手段。Wukong(悟空)靜態代碼檢測工具,從源碼開始,為您的軟件安全保駕護航!
參讀鏈接:
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/121297.html