Microsoft Exchange 的自動發(fā)現(xiàn)功能實施中的缺陷已經(jīng)泄露了全球大約100,000個 Windows域的登錄名和密碼。
在 Guardicore的安全研究副總裁Amit Serper的一份新報告中,研究人員揭示了自動發(fā)現(xiàn)協(xié)議的錯誤實施(而不是Microsoft Exchange中的錯誤)如何導(dǎo)致Windows證書被發(fā)送到第三方不受信任的網(wǎng)站。
在討論問題之前,先來快速了解一下Microsoft Exchange的自動發(fā)現(xiàn)協(xié)議以及它是如何實現(xiàn)的。
什么是 Microsoft Exchange 自動發(fā)現(xiàn)
Microsoft Exchange使用自動發(fā)現(xiàn)功能自動配置用戶的郵件客戶端(如Microsoft Outlook)及其組織的預(yù)定義郵件設(shè)置。
當(dāng)Exchange用戶在電子郵件客戶端(如Microsoft Outlook)中輸入他們的電子郵件地址和密碼時,郵件客戶端將嘗試對各種Exchange自動發(fā)現(xiàn)url進(jìn)行身份驗證。
在此認(rèn)證過程中,登錄名和密碼會自動發(fā)送到“自動發(fā)現(xiàn)URL”。
將連接到的自動發(fā)現(xiàn)url來自客戶端中配置的電子郵件地址。
例如,當(dāng)Serper使用電子郵件“amit@example.com”測試自動發(fā)現(xiàn)功能時,他發(fā)現(xiàn)郵件客戶端試圖驗證以下自動發(fā)現(xiàn)url:
Autodiscover.example.com/Autodiscove…
Autodiscover.example.com/Autodiscove…
郵件客戶端將嘗試每個 URL,直到它成功通過 Microsoft Exchange 服務(wù)器的身份驗證并將配置信息發(fā)送回客戶端。
將憑據(jù)泄漏到外部域
如果客戶端無法對上述 URL 進(jìn)行身份驗證,Serper 發(fā)現(xiàn)某些郵件客戶端(包括 Microsoft Outlook)將執(zhí)行“后退”程序。此過程嘗試創(chuàng)建其他URL以進(jìn)行身份驗證,例如 autodiscover.[tld] 域,其中 TLD 來自用戶的電子郵件地址。
在本例中,生成的URL是Autodiscover.com/Autodiscove…
自動發(fā)現(xiàn)協(xié)議的這種錯誤實現(xiàn)導(dǎo)致郵件客戶端向不受信任的域(例如 autodiscover.com)進(jìn)行身份驗證,這就是問題的開始。
由于電子郵件用戶所在的組織不擁有此域,并且憑據(jù)會自動發(fā)送到URL,因此域所有者可以收集發(fā)送給他們的任何憑據(jù)。
為了對此進(jìn)行測試,Guardicore 注冊了以下域并在每個域上設(shè)置了 Web 服務(wù)器,以查看 Microsoft Exchange 自動發(fā)現(xiàn)功能會泄露多少憑據(jù)。
Autodiscover.com.br - 巴西
Autodiscover.com.cn - 中國
Autodiscover.com.co - 哥倫比亞
Autodiscover.es - 西班牙
Autodiscover.fr - 法國
Autodiscover.in - 印度
Autodiscover.it - 意大利
Autodiscover.sg - 新加坡
Autodiscover.uk - 英國
自動發(fā)現(xiàn).xyz
Autodiscover.online
注冊并使用這些域后,Serper發(fā)現(xiàn)電子郵件客戶端(包括 Microsoft Outlook)使用基本身份驗證發(fā)送了許多帳戶憑據(jù),從而使它們易于查看。
對于使用NTLM和Oauth發(fā)送憑據(jù)的Microsoft Outlook客戶端,Serper創(chuàng)建了一種稱為“The ol switcheroo”的攻擊,強(qiáng)制客戶端將請求降級為基本身份驗證請求。
這將再次允許研究人員訪問用戶的明文密碼。
在2021年4月20日至2021年8月25日期間進(jìn)行這些測試時,Guardicore服務(wù)器收到:
648,976 個針對其自動發(fā)現(xiàn)域的 HTTP 請求。
372,072 個基本身份驗證請求。
96,671 個唯一預(yù)認(rèn)證請求。
Guardicore 表示,發(fā)送其憑據(jù)的域包括:
在中國市場上市的公司
食品制造商
投資銀行
發(fā)電廠
電力輸送
房地產(chǎn)
航運和物流
時裝和珠寶
緩解Microsoft Exchange自動發(fā)現(xiàn)泄露
根據(jù)Serper建議,企業(yè)和開發(fā)人員可以使用這些建議來緩解這些Microsoft Exchange 自動發(fā)現(xiàn)泄露。
對于使用 Microsoft Exchange 的組織,應(yīng)盡可能阻止所有自動發(fā)現(xiàn)。建議禁用基本身份驗證,因為它實際上是以明文形式發(fā)送憑證。
對于軟件開發(fā)人員,Serper 建議用戶在構(gòu)建自動發(fā)現(xiàn)URL時防止他們的郵件客戶端向上出錯,這樣他們就不會連接到Autodiscover.[tld]域。
微軟發(fā)言人表示,目前正在積極采取措施保護(hù)使用者,并致力于漏洞披露問題以降低客戶不必要的風(fēng)險。
Serper表示,許多開發(fā)人員只是使用都存在相同問題的第三方庫,在使用是并未關(guān)注是否存在安全風(fēng)險。當(dāng)前軟件開發(fā)離不開第三方庫的使用,但其中的風(fēng)險問題卻一直存在。
當(dāng)應(yīng)用程序中的第三代碼方庫存在安全漏洞時,對企業(yè)來說后果可能很嚴(yán)重。首先,違規(guī)風(fēng)險可能會更高,其次是增加了補(bǔ)丁的復(fù)雜性。漏洞時間越長修補(bǔ)就越復(fù)雜,打補(bǔ)丁所需的時間就越長,破壞應(yīng)用程序的風(fēng)險也就越大。
對于既是直接依賴又是傳遞依賴的庫,修補(bǔ)可能需要長達(dá) 2.5 倍的時間。這同樣適用于復(fù)雜的漏洞,例如任意代碼執(zhí)行缺陷,與典型問題相比,修復(fù)這些漏洞可能需要兩倍的時間。遠(yuǎn)程代碼執(zhí)行和拒絕服務(wù)錯誤也需要更長的時間來解決。
為了提高網(wǎng)絡(luò)抵御風(fēng)險能力,在軟件開發(fā)期間不斷通過靜態(tài)代碼檢測時時發(fā)現(xiàn)缺陷并修復(fù),可以降低安全漏洞,大大提高軟件安全性。在網(wǎng)絡(luò)世界危機(jī)四伏的今天,靜態(tài)代碼安全檢測已成為繼防火墻、殺毒軟件和入侵檢測后,網(wǎng)絡(luò)安全防護(hù)的又一有效手段。Wukong(悟空)靜態(tài)代碼檢測工具,從源碼開始,為您的軟件安全保駕護(hù)航!
參讀鏈接:
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/121297.html
