Exchange Autodiscover漏洞暴露10萬(wàn)Windows域憑證
發(fā)布時(shí)間:2021-11-19 11:33
來(lái)源:嘶吼網(wǎng)
閱讀:0
作者:ang010ela
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
微軟 Exchange Autodiscover設計和實(shí)現漏洞引發(fā)嚴重憑證泄露攻擊���,數十萬(wàn)Windows域憑證泄露��。
微軟 Autodiscover設計和實(shí)現引發(fā)嚴重憑證泄露攻擊���,數十萬(wàn)Windows域憑證泄露����。
Autodiscover是Microsoft Exchange用來(lái)自動(dòng)配置outlook這類(lèi)Exchange客戶(hù)端應用的工具�����。研究人員發(fā)現 Exchange Autodiscover協(xié)議存在設計漏洞�,會(huì )引發(fā)到Autodiscover域的web請求泄露���。
在配置郵件客戶(hù)端時(shí)�����,用戶(hù)需要配置:
-
用戶(hù)名�����、密碼;
-
郵件或exchange服務(wù)器的hostname或IP地址�。
在一些特殊情況下���,還需要進(jìn)行其他的配置�。本文介紹基于POX XML協(xié)議的 Autodiscover實(shí)現����。用戶(hù)在outlook加入一個(gè)新的exchange賬戶(hù)后���,用戶(hù)會(huì )收到一個(gè)彈窗要求輸入用戶(hù)名和密碼:
Microsoft Outlook自動(dòng)賬號設置
用戶(hù)輸入信息后��,outlook會(huì )使用 Autodiscover來(lái)配置客戶(hù)端����。如下所示:
Microsoft Outlook自動(dòng)賬號設置過(guò)程
在后臺Autodiscover工作過(guò)程中:
(1) 客戶(hù)端會(huì )分析用戶(hù)輸入的郵件地址——amit@example.com;
(2) 客戶(hù)端會(huì )嘗試基于用戶(hù)的郵件地址來(lái)構造Autodiscover URL:
-
https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
-
http://Autodiscover.example.com/Autodiscover/Autodiscover.xml
-
https://example.com/Autodiscover/Autodiscover.xml
-
http://example.com/Autodiscover/Autodiscover.xml
如果以上URL都沒(méi)有回應�,Autodiscover就會(huì )開(kāi)始back-off過(guò)程��。Back-off機制是泄露漏洞的關(guān)鍵���,因為它會(huì )嘗試解析域名的Autodiscover 部分����,也就是說(shuō)下一個(gè)嘗試構造的URL是
http://Autodiscover.com/Autodiscover/Autodiscover.xml����。即擁有Autodiscover.com的用戶(hù)會(huì )收到所有無(wú)法達到原始域名的請求�。
Autodiscover "back-off"過(guò)程
濫用泄露
為分析 Autodiscover泄露場(chǎng)景的可行性����,研究人員購買(mǎi)了以下域名:
-
Autodiscover.com.br – Brazil
-
Autodiscover.com.cn – China
-
Autodiscover.com.co – Columbia
-
Autodiscover.es – Spain
-
Autodiscover.fr – France
-
Autodiscover.in – India
-
Autodiscover.it – Italy
-
Autodiscover.sg – Singapore
-
Autodiscover.uk – United Kingdom
-
Autodiscover.xyz
-
Autodiscover.online
隨后將這些域名分配給一個(gè)web服務(wù)器�,并等待不同Autodiscover終端的web 請求��。隨后���,研究人員收到了大量來(lái)自不同域名���、IP地址和客戶(hù)端的請求�。其中部分請求相對路徑/Autodiscover/Autodiscover.xml的authorization header中含有HTTP 基本認證的憑證信息����。
HTTP GET請求示例
從日志信息可以看出�����,hostname是Autodiscover客戶(hù)端嘗試認證的域名����,還包括了認證使用的用戶(hù)名和密碼:
-
2021–05–18 03:30:45 W3SVC1 instance-2 10.142.0.4 GET /Autodiscover/Autodiscover.xml – 80 – HTTP/1.1 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.13901;+Pro) – -404 0 2 1383 301 265
-
2021–05–18 03:30:52 W3SVC1 instance-2 10.142.0.4 GET /Autodiscover/Autodiscover.xml – 80 – HTTP/1.1 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.13901;+Pro) – –404 0 2 1383 301 296
-
2021–05–18 03:30:55 W3SVC1 instance-2 10.142.0.4 GET /Autodiscover/Autodiscover.xml – 80 – HTTP/1.1 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.13901;+Pro) – –404 0 2 1383 296 328
-
2021–05–18 03:31:19 W3SVC1 instance-2 10.142.0.4 GET /Autodiscover/Autodiscover.xml – 80 – HTTP/1.1 Microsoft+Office/16.0+(Windows+NT+10.0;+Microsoft+Outlook+16.0.13901;+Pro) – –404 0 2 1383 306 234
有趣的是客戶(hù)端在發(fā)送認證的請求前并不會(huì )檢查資源是否存在��。
研究人員在2021年4月16日-2021年8月25日期間通過(guò)這種方式獲取了大量的憑證信息:
更多關(guān)于攻擊的信息參見(jiàn):https://www.guardicore.com/labs/autodiscovering-the-great-leak/
本文翻譯自:https://www.guardicore.com/labs/autodiscovering-the-great-leak/
原文地址:https://www.4hou.com/posts/w7jr
