51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Exchange Autodiscover漏洞暴露10万Windows域凭证

作者:ang010ela
安全 漏洞
微软 Exchange Autodiscover设计和实现漏洞引发严重凭证泄露攻击,数十万Windows域凭证泄露。

微软 Exchange Autodiscover设计和实现漏洞引发严重凭证泄露攻击,数十万Windows域凭证泄露。

Autodiscover是Microsoft Exchange用来自动配置outlook这类Exchange客户端应用的工具。研究人员发现 Exchange Autodiscover协议存在设计漏洞,会引发到Autodiscover域的web请求泄露。

在配置邮件客户端时,用户需要配置:

  • 用户名、密码;
  • 邮件或exchange服务器的hostname或IP地址。

在一些特殊情况下,还需要进行其他的配置。本文介绍基于POX XML协议的 Autodiscover实现。用户在outlook加入一个新的exchange账户后,用户会收到一个弹窗要求输入用户名和密码:

Microsoft Outlook自动账号设置

用户输入信息后,outlook会使用 Autodiscover来配置客户端。如下所示:

Microsoft Outlook自动账号设置过程

在后台Autodiscover工作过程中:

(1) 客户端会分析用户输入的邮件地址——amit@example.com;

(2) 客户端会尝试基于用户的邮件地址来构造Autodiscover URL:

  • https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
  • https://example.com/Autodiscover/Autodiscover.xml
  • http://example.com/Autodiscover/Autodiscover.xml

如果以上URL都没有回应,Autodiscover就会开始back-off过程。Back-off机制是泄露漏洞的关键,因为它会尝试解析域名的Autodiscover 部分,也就是说下一个尝试构造的URL是

http://Autodiscover.com/Autodiscover/Autodiscover.xml。即拥有Autodiscover.com的用户会收到所有无法达到原始域名的请求。

Autodiscover "back-off"过程

滥用泄露

为分析 Autodiscover泄露场景的可行性,研究人员购买了以下域名:

  • Autodiscover.com.br – Brazil
  • Autodiscover.com.cn – China
  • Autodiscover.com.co – Columbia
  • Autodiscover.es – Spain
  • Autodiscover.fr – France
  • Autodiscover.in – India
  • Autodiscover.it – Italy
  • Autodiscover.sg – Singapore
  • Autodiscover.uk – United Kingdom
  • Autodiscover.xyz
  • Autodiscover.online

随后将这些域名分配给一个web服务器,并等待不同Autodiscover终端的web 请求。随后,研究人员收到了大量来自不同域名、IP地址和客户端的请求。其中部分请求相对路径/Autodiscover/Autodiscover.xml的authorization header中含有HTTP 基本认证的凭证信息。

HTTP GET请求示例

从日志信息可以看出,hostname是Autodiscover客户端尝试认证的域名,还包括了认证使用的用户名和密码:

  • 2021–05–18 03:30:45 W3SVC1 instance-2 10.142.0.4 GET /Autodiscover/Autodiscover.xml – 80 – HTTP/1.1 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.13901;+Pro) – -404 0 2 1383 301 265
  • 2021–05–18 03:30:52 W3SVC1 instance-2 10.142.0.4 GET /Autodiscover/Autodiscover.xml – 80 – HTTP/1.1 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.13901;+Pro) – –404 0 2 1383 301 296
  • 2021–05–18 03:30:55 W3SVC1 instance-2 10.142.0.4 GET /Autodiscover/Autodiscover.xml – 80 – HTTP/1.1 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.13901;+Pro) – –404 0 2 1383 296 328
  • 2021–05–18 03:31:19 W3SVC1 instance-2 10.142.0.4 GET /Autodiscover/Autodiscover.xml – 80 – HTTP/1.1 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.13901;+Pro) – –404 0 2 1383 306 234

有趣的是客户端在发送认证的请求前并不会检查资源是否存在。

研究人员在2021年4月16日-2021年8月25日期间通过这种方式获取了大量的凭证信息:

更多关于攻击的信息参见:https://www.guardicore.com/labs/autodiscovering-the-great-leak/

本文翻译自:https://www.guardicore.com/labs/autodiscovering-the-great-leak/

 

责任编辑:赵宁宁 来源: 嘶吼网
漏洞网络安全网络攻击
相关推荐
Microsoft Exchange中的Autodiscover漏洞泄露大量凭证
根据新的Guardicore研究,MicrosoftExchange中使用的协议Autodiscover存在漏洞,该漏洞导致各种Windows和Microsoft登录凭证遭泄漏。

2021-09-28 09:22:20

漏洞网络安全网络攻击
iOS核心应用设计漏洞 暴露用户Apple ID凭证
CheckPoint提醒苹果iOS的核心应用程序可能会暴露用户的凭据。所幸的是iOS9包含有相关的补丁。

2015-10-14 14:40:10

漏洞软件设计漏洞keychain
安全大厂零日漏洞失控,16VPN设备暴露
网络安全和IT管理软件巨头Ivanti的两款产品(ConnectSecureVPN和IvantiPolicySecure网络访问控制设备)曝出的两个零日漏洞近日在全球范围被大规模利用于部署后门、挖矿软件和自定义恶意软件。

2024-01-22 15:23:40

微软悬赏10美元寻找Windows 8.1安全漏洞
据国外媒体6月23日报道,多年来,微软一直拒绝为找出其软件安全漏洞的研究者们提供金钱奖励,尽管谷歌和Facebook一直都在逐渐提高所谓“漏洞奖金”项目的奖励额度。现在这一软件巨头突然改变了想法——有时给出的奖金甚至高于后两家竞争对手。

2013-06-26 09:36:46

61Facebook凭证被窃取
ThreatNix研究人员发现一起使用GitHub页面和定向Facebook广告的大规模钓鱼活动,影响了超过615000用户。

2021-01-04 10:02:54

Facebook凭证攻击
微软 Windows 10 Defender 将自动缓解企业内部 Exchange 服务器漏洞
IT之家3月21日消息外媒MSPoweruser报道,尽管微软做出了努力,但仍有数千台内部部署的Exchange服务器未打补丁,容易被黑客利用进行数据窃取和勒索软件攻击。

2021-03-21 19:40:58

微软Windows 10Windows
微软Exchange服务器曝出高危漏洞,近10台服务器面临风险!
微软Exchange服务器近日曝出高危漏洞,编号为CVE202421410,该漏洞严重威胁到全球大量邮件服务器的安全,目前已经有黑客开始积极野外利用。

2024-02-20 14:18:13

如何从Windows 10加入或删除
基于域的网络在公司和组织中很常见,其中该过程需要通过称为服务器的单个节点来控制多台计算机。服务器管理员可以为加入域的每个系统设置某些策略和限制。

2019-08-28 09:00:45

Windows 10Windows
Windows下登录凭证窃取技巧
拿到一台Windows服务器权限,收集各种登录凭证以便扩大战果。本篇分享几个窃取Windows登录凭证的工具和技巧。

2020-10-12 06:32:25

Windows窃取技巧
微软修复Windows 10/Windows 11上BlackLotus UEFI漏洞
ESET安全研究人员于今年3月发现了BlackLotus,被认为是首个可以在Win11系统上绕过SecureBoot的UEFIbootkit恶意软件。

2023-05-10 16:36:12

Windows下登录凭证窃取技巧
拿到一台Windows服务器权限,收集各种登录凭证以便扩大战果。本篇分享几个窃取Windows登录凭证的工具和技巧。

2020-11-13 16:20:52

Windows登录凭证命令
当当网现安全漏洞——数用户信息暴露于风险中
根据乌云漏洞发布的报告描述,用户只要在登录后,按步骤修改特定的网址就可得到全部当当网收件人的地址、姓名及联系方式,报告者在详情描述中称漏洞是由于“某处设计不当,不能过于详细,太容易发现了”。

2011-11-16 12:45:43

暴露年龄警告!Windows 10干掉了多少装机必备?
虽然Win7娘已经毕业有段时间了,但是世界各地仍然有不少粉丝表示“坚守Win7”或“打死不换Win10”,对于这样的死忠粉,微软也只能用时间去转化他们。

2020-01-21 19:21:44

WindowsWindows 10Windows XP
微软Exchange被爆高危后门 可用于窃取凭证
日前,卡巴斯基的安全团队发布了一份令人担忧的报告。报告指出在Exchange服务器上发现了一个全新的、难以检测的后门。

2022-07-02 15:23:59

卡巴斯基Exchange服务器
管理员权限的凭证安全漏洞
网络上的主机都存有管理权限的凭证。一旦非授权用户获取了其中某些凭证,整个域的部分或全部管理权限都会陷落。

2017-06-14 14:33:58

Windows Phone应用数量已逼近10
WindowsPhoneMarketplace中的应用数量今年的增长速度非常快,最近已经超过9万款,准备冲击10万款大关了。

2012-05-15 17:00:23

Windows PhoWP应用数量
Nginx暴露漏洞CVE-2021-23017
日前著名Web服务器和反向代理服务器Nginx暴严重漏洞NS解析器OffbyOne堆写入漏洞,该漏洞存在于Nginx的DNS解析模块ngxresolvercopy()。

2021-05-27 05:34:47

漏洞网络安全网络攻击
微软修复Windows 10漏洞Windows 95时就存在
近日微软修复了一个存在了20多年的老漏洞,这个漏洞存在于WindowsPrintSpooler中,黑客可利用它将打印机、打印机驱动程序或任何伪装成打印机的联网装置变成内置驱动工具包,无论何时连接它们,设备都将被感染。

2016-08-31 00:42:11

微软即将推出Windows 10随机清除已保存登录凭证的Bug补丁
今年11月,微软证实Windows10存在一个可能导致系统无法记住Chrome、Edge、OneDrive等软件密码的Bug。然而由于问题的随机性,导致开发团队难以追溯其根源。受影响的用户,也只能一遍遍地重复输入相关的登录凭证(用户名和密码)。

2020-12-29 18:45:26

Windows 10微软bug
安全漏洞再现,逾 20 个 Confluence 数据中心实例面临暴露风险
Cybernews勒索软件监控工具Ransomlooker的数据显示,勒索攻击事件平均赎金为530万美元。

2024-05-23 16:08:26

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服