由于微軟Exchange使用的自動(dòng)發(fā)現(xiàn)協(xié)議的設(shè)計(jì)和實(shí)現(xiàn)，Guardicore公司網(wǎng)絡(luò)安全研究人員已經(jīng)能夠捕獲數(shù)十萬個(gè)Windows域和應(yīng)用程序憑據(jù)。根據(jù)Microsoft的說法，Exchange自動(dòng)發(fā)現(xiàn)服務(wù)“為您的客戶端應(yīng)用程序提供了一種簡單的方法，以最少的用戶輸入來配置自己”。例如，這允許用戶只需要提供用戶名和密碼就可以配置Outlook客戶端。早在2017年，研究人員就警告稱，移動(dòng)電子郵件客戶端自動(dòng)發(fā)現(xiàn)的實(shí)現(xiàn)問題可能導(dǎo)致信息泄露，當(dāng)時(shí)披露的漏洞已得到修補(bǔ)。然而，今年早些時(shí)候，云和數(shù)據(jù)中心安全公司Guardicore進(jìn)行的一項(xiàng)分析顯示，自動(dòng)發(fā)現(xiàn)的設(shè)計(jì)和實(shí)現(xiàn)仍然存在一些嚴(yán)重的問題。

　　微軟的自動(dòng)發(fā)現(xiàn)協(xié)議旨在簡化Exchange客戶機(jī)（如Microsoft Outlook）的配置。該協(xié)議的目標(biāo)是讓終端用戶能夠完全配置他們的Outlook客戶端只提供他們的用戶名和口令，并將其余的配置留給Microsoft Exchange的自動(dòng)發(fā)現(xiàn)協(xié)議。因?yàn)镸icrosoft Exchange是解決方案的“Microsoft域套件”的一部分，所以在大多數(shù)情況下，登錄到基于Exchange的收件箱所必需的憑據(jù)就是他們的域憑據(jù)，理解這一點(diǎn)很重要。

　　這個(gè)問題與“回退”程序有關(guān)。當(dāng)使用“自動(dòng)發(fā)現(xiàn)”配置客戶端時(shí)，客戶端將嘗試基于用戶提供的電子郵件地址構(gòu)建URL。URL看起來像這樣：https://Autodiscover.example.com/Autodiscover/Autodiscover.xml或https://example.com/Autodiscover/Autodiscover.xml。

　　但是，如果沒有URL響應(yīng)，“回退”機(jī)制就會(huì)啟動(dòng)，并嘗試聯(lián)系以下格式的URL:

　　http://Autodiscover.com/Autodiscover/Autodiscover.xml。

　　Guardicore解釋說：“這意味著無論Autodiscover.com的所有者是誰，都將收到所有無法到達(dá)原域名的請(qǐng)求。”

　　該公司注冊(cè)了近12個(gè)自動(dòng)發(fā)現(xiàn)域名（例如Autodiscover.com.cn, Autodiscover.es, Autodiscover。在autodiscovery .uk中），并將它們分配給它控制下的web服務(wù)器。

　　從2021年4月16日到2021年8月25日，他們的服務(wù)器從Outlook和移動(dòng)電子郵件客戶端等應(yīng)用程序中獲取了超過37萬份Windows域證書和超過9.6萬份獨(dú)特證書。

　　這些證書來自上市公司、食品制造商、發(fā)電廠、投資銀行、航運(yùn)和物流公司、房地產(chǎn)公司、時(shí)尚和珠寶公司。如此規(guī)模的域證書泄漏的影響是巨大的，并可能將組織置于危險(xiǎn)之中。特別是在今天的勒索軟件攻擊肆虐的世界中，攻擊者進(jìn)入組織最簡單的方法是使用合法和有效的憑證。

　　“這是一個(gè)嚴(yán)重的安全問題，因?yàn)槿绻粽吣軌蚩刂七@樣的域或有能力在同一網(wǎng)絡(luò)中‘嗅嗅’流量，他們就可以捕獲通過網(wǎng)絡(luò)傳輸?shù)募兾谋居驊{據(jù)（HTTP基本身份驗(yàn)證）。此外，如果攻擊者具有大規(guī)模DNS投毒能力（如民族國家的攻擊者），他們可以通過基于這些自動(dòng)發(fā)現(xiàn)頂級(jí)域名的大規(guī)模DNS投毒活動(dòng)，系統(tǒng)地抽取泄露的口令，”Guardicore說。

　　2017年，Shape Security的研究人員發(fā)表了一篇論文，討論了自動(dòng)發(fā)現(xiàn)在手機(jī)郵件客戶端（如Android上的三星郵件客戶端和iOS上的蘋果郵件客戶端）上的實(shí)現(xiàn)如何導(dǎo)致這種泄露（CVE-2016-9940, CVE-2017-2414）。Shape Security披露的漏洞已經(jīng)得到了修補(bǔ)，然而，我們?cè)?021年面臨的威脅要大得多，只需要在電子郵件客戶端以外的更多第三方應(yīng)用程序上處理完全相同的問題。這些應(yīng)用程序?qū)⑵溆脩舯┞对谕瑯拥娘L(fēng)險(xiǎn)中。Guardicore已經(jīng)對(duì)一些受影響的供應(yīng)商啟動(dòng)了負(fù)責(zé)任的披露程序。

　　研究人員還設(shè)計(jì)了一種攻擊，可以用來降低客戶端的認(rèn)證方案，使攻擊者能夠獲得明文的證書。客戶端最初將嘗試使用安全的身份驗(yàn)證方案，如NTLM或OAuth，以保護(hù)憑證不被窺探，但攻擊導(dǎo)致身份驗(yàn)證降級(jí)為HTTP基本身份驗(yàn)證，其中憑證以明文發(fā)送。

　　Guardicore指出，數(shù)據(jù)泄漏的發(fā)生與應(yīng)用程序開發(fā)人員實(shí)現(xiàn)協(xié)議的方式有關(guān)。它們可以防止它構(gòu)建可能被攻擊者濫用的url。

　　通常，攻擊者會(huì)試圖通過應(yīng)用各種技術(shù)（無論是技術(shù)還是社會(huì)工程）來讓用戶發(fā)送他們的憑證。然而，這一事件表明，口令可以通過一種協(xié)議泄露到組織的外圍，該協(xié)議旨在簡化IT部門關(guān)于電子郵件客戶端配置的操作，而IT或安全部門的任何人甚至都不知道它，強(qiáng)調(diào)了正確網(wǎng)絡(luò)分段和零信任的重要性。

　　Guardicore表示其實(shí)驗(yàn)室正在繼續(xù)努力，通過發(fā)現(xiàn)、警告和披露這些問題，以確保網(wǎng)絡(luò)、應(yīng)用程序和協(xié)議的安全。