通常Microsoft Exchange使用Autodiscover协议配置客户端(如Microsoft Outlook),但它有一个设计缺陷,可导致web请求泄露至域外。
研究人员在服务器上配置了多个Autodiscover域名,在2021年4月16日至2021年8月25日期间检测到372072个外泄的Windows域凭据,96671个从各种应用程序泄漏的凭据。
这是一个严重的安全问题,如果攻击者能够控制此类域名,或者能够“嗅探”同一网络中的通信流量,则可以捕获域凭据。
漏洞简介
泄漏的凭据是向Microsoft Exchange服务器进行身份验证的Windows域凭据。此问题由微软的Autodiscover协议引发。Microsoft的Autodiscover协议旨在简化Exchange客户端(如Microsoft Outlook)配置,使用户能够仅通过用户名和密码来配置客户端,而用户配置的登录到Exchange的凭证基本上都是域凭证,导致此类漏洞影响巨大。
2017年,Shape Security的研究人员发表了一篇关于手机电子邮件客户端此类漏洞的文章(CVE-2016-9940,CVE-2017-2414)。
Autodiscover
Exchange的Autodiscover为客户提供一种简便配置Exchange客户端的方法。用户必须配置用户名和密码、服务器主机名/IP地址。在某些情况下,还需要其他设置(LDAP设置、WebDAV日历等)。
用户向Outlook添加新的Microsoft Exchange帐户,用户需要输入用户名和密码: