Microsoft Exchange自动发现泄漏

发现microsoftexchangesautodiscover协议泄露了数十万个凭证.

如果电子邮件客户端无法找到正确的资源,就会故障转移到意想不到的域名

交易所Autodiscover协议, 特别是基于POX XML的版本, 为客户端应用程序提供一种获取与Exchange服务器通信所需配置数据的方法. 例如,当向Outlook添加新的Exchange帐户时,将调用它. 在用户提供名称之后, 电子邮件地址, 和密码, Outlook尝试使用自动发现来设置客户端. 如果客户端没有收到来自这些url的任何响应——如果Exchange配置不当或被以某种方式阻止访问指定的资源,就会发生这种情况——Autodiscover协议将尝试使用带有TLD作为主机名的Autodiscover算法. “这种‘后退’机制是这次泄漏的罪魁祸首,因为它总是试图解决域的自动发现部分,它总是试图‘失败’,可以这么说,Amit Serper解释道, Guardicore地区北美安全研究副总裁, 在报告中. 这意味着无论谁拥有Autodiscover.Com将接收所有无法到达原始域的请求.”

4月16日之间, 2021年和8月25日, 2021, Guardicore收到了大约649份,000个HTTP请求针对其自动发现域, 372,基本身份验证中使用凭证的000个请求, 和大约97,000个唯一的认证前请求.

这些证书来自中国的上市公司, 食品制造商, 投资银行, 发电厂, 能源输送公司, 房地产企业, 航运和物流业务, 和时尚/珠宝公司. Serper说他无法知道是否有人滥用了这个漏洞. “然而, 由于这些协议设计缺陷已经被发现有一段时间了, 如果一个具有DNS中毒能力的威胁行动者尝试过它,我不会感到惊讶,”他说. “如果威胁行为者与受害者在同一网络中(例如在同一局域网/无线局域网), 进行DNS中毒攻击以使受害者泄漏这些凭证是完全可行的场景.”

LATG知道如何解决这个问题. 请CQ9电子预约.

CQ9电子一起努力,为您的组织找到正确的技术解决方案.

504-304-2505 or CQ9电子