《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > Microsoft Exchange自動發(fā)現(xiàn)協(xié)議漏洞導(dǎo)致成千上萬的證書泄露

Microsoft Exchange自動發(fā)現(xiàn)協(xié)議漏洞導(dǎo)致成千上萬的證書泄露

2021-09-23
來源:網(wǎng)空閑話

  由于微軟Exchange使用的自動發(fā)現(xiàn)協(xié)議的設(shè)計和實(shí)現(xiàn),Guardicore公司網(wǎng)絡(luò)安全研究人員已經(jīng)能夠捕獲數(shù)十萬個Windows域和應(yīng)用程序憑據(jù),。根據(jù)Microsoft的說法,,Exchange自動發(fā)現(xiàn)服務(wù)“為您的客戶端應(yīng)用程序提供了一種簡單的方法,,以最少的用戶輸入來配置自己”,。例如,,這允許用戶只需要提供用戶名和密碼就可以配置Outlook客戶端,。早在2017年,,研究人員就警告稱,,移動電子郵件客戶端自動發(fā)現(xiàn)的實(shí)現(xiàn)問題可能導(dǎo)致信息泄露,,當(dāng)時披露的漏洞已得到修補(bǔ)。然而,,今年早些時候,,云和數(shù)據(jù)中心安全公司Guardicore進(jìn)行的一項(xiàng)分析顯示,自動發(fā)現(xiàn)的設(shè)計和實(shí)現(xiàn)仍然存在一些嚴(yán)重的問題,。

  微軟的自動發(fā)現(xiàn)協(xié)議旨在簡化Exchange客戶機(jī)(如Microsoft Outlook)的配置,。該協(xié)議的目標(biāo)是讓終端用戶能夠完全配置他們的Outlook客戶端只提供他們的用戶名和口令,并將其余的配置留給Microsoft Exchange的自動發(fā)現(xiàn)協(xié)議,。因?yàn)镸icrosoft Exchange是解決方案的“Microsoft域套件”的一部分,,所以在大多數(shù)情況下,登錄到基于Exchange的收件箱所必需的憑據(jù)就是他們的域憑據(jù),,理解這一點(diǎn)很重要,。

  這個問題與“回退”程序有關(guān)。當(dāng)使用“自動發(fā)現(xiàn)”配置客戶端時,,客戶端將嘗試基于用戶提供的電子郵件地址構(gòu)建URL,。URL看起來像這樣:https://Autodiscover.example.com/Autodiscover/Autodiscover.xml或https://example.com/Autodiscover/Autodiscover.xml。

  但是,,如果沒有URL響應(yīng),,“回退”機(jī)制就會啟動,,并嘗試聯(lián)系以下格式的URL:

  http://Autodiscover.com/Autodiscover/Autodiscover.xml。

  Guardicore解釋說:“這意味著無論Autodiscover.com的所有者是誰,,都將收到所有無法到達(dá)原域名的請求,。”

  該公司注冊了近12個自動發(fā)現(xiàn)域名(例如Autodiscover.com.cn, Autodiscover.es, Autodiscover,。在autodiscovery .uk中),,并將它們分配給它控制下的web服務(wù)器。

  從2021年4月16日到2021年8月25日,,他們的服務(wù)器從Outlook和移動電子郵件客戶端等應(yīng)用程序中獲取了超過37萬份Windows域證書和超過9.6萬份獨(dú)特證書,。

  這些證書來自上市公司、食品制造商,、發(fā)電廠,、投資銀行、航運(yùn)和物流公司,、房地產(chǎn)公司,、時尚和珠寶公司。如此規(guī)模的域證書泄漏的影響是巨大的,,并可能將組織置于危險之中,。特別是在今天的勒索軟件攻擊肆虐的世界中,攻擊者進(jìn)入組織最簡單的方法是使用合法和有效的憑證,。

  “這是一個嚴(yán)重的安全問題,,因?yàn)槿绻粽吣軌蚩刂七@樣的域或有能力在同一網(wǎng)絡(luò)中‘嗅嗅’流量,他們就可以捕獲通過網(wǎng)絡(luò)傳輸?shù)募兾谋居驊{據(jù)(HTTP基本身份驗(yàn)證),。此外,,如果攻擊者具有大規(guī)模DNS投毒能力(如民族國家的攻擊者),他們可以通過基于這些自動發(fā)現(xiàn)頂級域名的大規(guī)模DNS投毒活動,,系統(tǒng)地抽取泄露的口令,,”Guardicore說。

  2017年,,Shape Security的研究人員發(fā)表了一篇論文,,討論了自動發(fā)現(xiàn)在手機(jī)郵件客戶端(如Android上的三星郵件客戶端和iOS上的蘋果郵件客戶端)上的實(shí)現(xiàn)如何導(dǎo)致這種泄露(CVE-2016-9940, CVE-2017-2414)。Shape Security披露的漏洞已經(jīng)得到了修補(bǔ),,然而,,我們在2021年面臨的威脅要大得多,只需要在電子郵件客戶端以外的更多第三方應(yīng)用程序上處理完全相同的問題,。這些應(yīng)用程序?qū)⑵溆脩舯┞对谕瑯拥娘L(fēng)險中,。Guardicore已經(jīng)對一些受影響的供應(yīng)商啟動了負(fù)責(zé)任的披露程序。

  研究人員還設(shè)計了一種攻擊,,可以用來降低客戶端的認(rèn)證方案,,使攻擊者能夠獲得明文的證書,。客戶端最初將嘗試使用安全的身份驗(yàn)證方案,,如NTLM或OAuth,,以保護(hù)憑證不被窺探,但攻擊導(dǎo)致身份驗(yàn)證降級為HTTP基本身份驗(yàn)證,,其中憑證以明文發(fā)送。

  Guardicore指出,,數(shù)據(jù)泄漏的發(fā)生與應(yīng)用程序開發(fā)人員實(shí)現(xiàn)協(xié)議的方式有關(guān),。它們可以防止它構(gòu)建可能被攻擊者濫用的url。

  通常,,攻擊者會試圖通過應(yīng)用各種技術(shù)(無論是技術(shù)還是社會工程)來讓用戶發(fā)送他們的憑證,。然而,這一事件表明,,口令可以通過一種協(xié)議泄露到組織的外圍,,該協(xié)議旨在簡化IT部門關(guān)于電子郵件客戶端配置的操作,而IT或安全部門的任何人甚至都不知道它,,強(qiáng)調(diào)了正確網(wǎng)絡(luò)分段和零信任的重要性,。

  Guardicore表示其實(shí)驗(yàn)室正在繼續(xù)努力,通過發(fā)現(xiàn),、警告和披露這些問題,,以確保網(wǎng)絡(luò)、應(yīng)用程序和協(xié)議的安全,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]