Autodiscover漏洞分析

最新推荐文章于 2023-04-19 16:55:03 发布
最新推荐文章于 2023-04-19 16:55:03 发布
阅读量1.2k 收藏
点赞数
文章标签: 网络安全 web安全 安全 渗透测试 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wulanlin/article/details/122321511
版权

通常Microsoft Exchange使用Autodiscover协议配置客户端(如Microsoft Outlook),但它有一个设计缺陷,可导致web请求泄露至域外。

研究人员在服务器上配置了多个Autodiscover域名,在2021年4月16日至2021年8月25日期间检测到372072个外泄的Windows域凭据,96671个从各种应用程序泄漏的凭据。

这是一个严重的安全问题,如果攻击者能够控制此类域名,或者能够“嗅探”同一网络中的通信流量,则可以捕获域凭据。

漏洞简介

泄漏的凭据是向Microsoft Exchange服务器进行身份验证的Windows域凭据。此问题由微软的Autodiscover协议引发。Microsoft的Autodiscover协议旨在简化Exchange客户端(如Microsoft Outlook)配置,使用户能够仅通过用户名和密码来配置客户端,而用户配置的登录到Exchange的凭证基本上都是域凭证,导致此类漏洞影响巨大。

2017年,Shape Security的研究人员发表了一篇关于手机电子邮件客户端此类漏洞的文章(CVE-2016-9940,CVE-2017-2414)。

Autodiscover

Exchange的Autodiscover为客户提供一种简便配置Exchange客户端的方法。用户必须配置用户名和密码、服务器主机名/IP地址。在某些情况下,还需要其他设置(LDAP设置、WebDAV日历等)。

用户向Outlook添加新的Microsoft Exchange帐户,用户需要输入用户名和密码:

最低0.47元/天 解锁文章
wulanlin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Autodiscover(自动发现)故障解决
weixin_34356310的博客
07-24 1986
什么是自动发现?ExchangeAutodiscover是运行在Exchange客户端访问服务器上的一种服务。它是包含在exchange2007里的新特征之一。自动发现服务可以是配置Outlook2007和Outlook2010以及一些移动手机变得更加容易。自动发现服务无法再早期的outlook版本上使用,例如Outlook2003。在早期的Exchange(...
Autodiscover的排错
weixin_44669829的博客
09-12 1777
本文只涉及账户问题,不多涉及客户端
获得用户完整的autodiscover配置文件
weixin_34351321的博客
04-24 2358
outlook 2016 无法自定义配置exchange邮箱,需要使用自动发现来配置,但在配置过程中,经常出现异常的错误,导致无法通过。 之前的文章介绍了通过使用注册表指定autodiscover.xml的方法配置outlook,如有需要请查看:http://www.cnblogs.com/-windows/p/8856123.html 下面介绍的是获取用户完整的配置文件,将此配置文件放置在用...
Exchange 自动发现服务(Auto discover service)详解
weixin_33736649的博客
09-06 1105
Autodiscover Service概述: Autodiscover 服务可以让你快速的配置Outlook 2007 或者Outlook 2010 以及一些移动设备,Autodiscover Service 无法应用在早期的Outlook 版本,如Outlook 2003。在早期版本的Microsoft Exchange(Exchange 2003 SP2或更早版...
Exchange Autodiscover排错及理解自动发现
q8649912的博客
01-04 5144
 ExchangeAutodiscover理解自动发现          我们在使用Outlook2007及以上版本配置Exchange邮箱时,通常我们只需要记住自己的邮件地址和密码即可成功配置。这种机制是Exchange 的Autodisccover实现的,了解Exchange Autodiscover的工作原理对以后的排错有一定帮助。        通过我的了解Ex
autodiscover
07-13
#自动发现一个简单的 Microsoft:registered: Exchange:registered: 兼容自动发现服务。 ##安装 go get github.com/nwolber/autodiscover
autodiscover:PHP 中的电子邮件自动发现
06-18
自动发现 ... 生成的 XML 目前是为 Google for Business(Google Apps for Your Domain)设置的,并且与域无关,以允许别名域等。 网络服务器需要重写规则,已经提供了一个 nginx 块。 使用的“Outlook Auto...
autodiscover-email-settings:在Microsoft Outlook上为IMAPPOPSMTPLDAP服务提供自动发现功能为Thunderbird提供Apple Mail和自动配置功能
05-11
自动发现电子邮件设置 创建此服务是为了自动发现您的提供商电子邮件设置。 它提供Microsoft Outlook / Apple Mail上...autodiscover IN A {{$AUTODISCOVER_IP}} imap IN CNAME {{$MX_DOMAIN}}. smtp IN CNAME {{$MX_
Python库 | odoo_autodiscover-1.0.2-py27-none-any.whl
05-08
资源分类:Python库 所属语言:Python 资源全名:odoo_autodiscover-1.0.2-py27-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
使用celery和Django处理异步任务的流程分析
09-17
app.autodiscover_tasks() ``` 这里,`<your project name>`应替换为你的Django项目的实际名称。 一旦完成了上述配置,你就可以在Django应用中定义异步任务。一个简单的任务示例如下: ```python from celery ...
Zimbra 远程代码执行漏洞(CVE-2019-9670)漏洞分析
sxr__nc的博客
04-19 3920
漏洞的主要利用手法是通过。符号没有进行处理,就会导致上述类型的攻击,攻击者在发送上述类型的数据包的时候可以新建一个。的内容,这样一来处理数据会很方便,但同时也会有巨大的安全隐患:如果把目标。获取,其实只需要将上边的数据包中的字段修改下即可直接获取到高权限的。,在解析的过程中遇到实体的引用会直接获取相应的内容,即这里碰到。函数的处理流程,在整体的处理过程中对于请求的数据包,只针对。两个字段进行的解析,在解析的过程中会判断获取到的邮箱地址和。免费、简单,已经获得了广泛的支持,方便大众的使用。
微软 Exchange Autodiscover 协议存bug,数十万域凭据可遭泄露
smellycat000的专栏
09-23 357
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
踩坑点2:无法自动检测电子邮件地址
LuM523的博客
11-24 2233
请先确定错误提示之前无“Please tell me who you are”提示,如有请看踩坑点1 “无法自动检测电子邮件地址”错误,这是由于基于Github搭建博客时,Github自动默认会保护用户的邮箱,所以出现这个问题 解决方案 1.登录Github后,点击菜单栏最右侧的下拉按钮,进入设置页面 2.进入Settings后,选择Emails,可以看到有这样的一个选择 把这个对勾取消掉就好啦...
Exchange可以拿来爆破的接口
rv0p111
10-09 2452
Exchange可以拿来爆破的接口 1、EWS 服务 URL,exchange web 服务配置 https://192.168.88.129/ews/exchange.asmx 2、还可以是owa接口–提供WEB方式邮件访问功能 https://192.168.88.129/owa 3、可以是AUTODISCOVER自动发现服务 根据您是否在单独的站点上配置了自动发现服务,自动发现...
微软邮件系统Exchange 2013系列(十)客户端和移动设备管理
weixin_34124651的博客
11-02 457
(一)Outlook AnywhereOutlook Anywhere基于Windows RPC over HTTP Proxy 组件,用一个 HTTP 层封装远程过程调用RPC。可以不必打开 RPC 端口即可穿越网络防火墙和Exchange进行通信。无需使用虚拟专用网络 (***) 即可通过 Internet 访问 Exchange 服务器。早期版本的Exchange中,外部用户访问exchan...
Outlook已被重定向到服务器autodiscover
weixin_33778778的博客
04-26 3885
最近接到用户报障了一个比较冷门的错误问题,在使用V河蟹PN登陆outlook时邮箱正常收发,断开V河蟹PN后无法连接服务器,报错截图如下: 网上查了查没有相关的帖子,直接自己看,检查了IIS目录的SSL配置和HTTP重定向配置,都没什么问题,又想了想最近有没有对服务器做过什么操作。 最后想到之前服务器的外网地址更换了,于是nslookup检查外网autodiscover的解析,发现解析的外网地址是...
outlook 服务器未响应,出现错误,Outlook 无法设置你的帐户
weixin_30976429的博客
08-05 5480
问题使用自定义域或具有个性化电子邮件地址的 Outlook.com 帐户添加 Microsoft 365 的 Outlook 帐户时,收到以下错误:原因出现此问题的原因是 Outlook 使用的自动发现过程在执行根域查找时收到来自第三方 web 服务器的意外结果。 例如,Outlook 可能会收到结果,如 https:///AutoDiscover/AutoDiscover.xml。通常,在这种情...
EXCHANGE 2013配置AUTODISCOVER(自动发现)
weixin_34415923的博客
03-27 3497
一、配置autodiscover在ECP里面配置outlookanywhere1.指定用户用于连接到您组织的外部主机名 : 写入外部访问域名2.指定用户用于连接到您组织的内部主机名 :根据情况填写(内外部一样就填一样,不一样就填实际内部主机名)3.指定外部客户端在连接到您的组织时使用的身份验证方法:根据情况填写,我这里配置的是“基本”(建议选择协商,但对以前的版本可能不适用,切换时会有提示)。4...
The Autodiscover service couldn't be located.
最新发布
05-17
This error message usually appears when the Microsoft Outlook email client is unable to connect to the Autodiscover service to retrieve the email account configuration information. Here are some steps you can take to troubleshoot this issue: 1. Check your internet connection: Make sure you have a stable internet connection before attempting to connect to the Autodiscover service. 2. Verify your email settings: Verify that your email settings are correct, including your email address, password, and server settings. You can usually find this information in your email account settings. 3. Check your DNS settings: Make sure the Autodiscover service is listed in your DNS settings. You can check this by using the nslookup command in the command prompt or terminal. 4. Disable third-party add-ins: Disable any third-party add-ins that may be interfering with the Autodiscover service. 5. Contact your email provider: If none of the above steps work, contact your email provider for further assistance. They may be experiencing an outage or have a different solution to resolve the issue.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值