研究人员通过设置Microsoft Exchange服务器和使用自动发现域,在4个多月的时间里已经获得了372,072个Windows域证书,其中包括96,671个唯一的证书。
正在泄漏的凭据是用于向Microsoft Exchange服务器进行身份验证的有效Windows域凭据。
Autodiscover是什么?
从微软的网站我们了解到,“自动发现服务通过向客户端提供对Exchange功能的访问,最大限度地减少了用户配置和部署步骤。对于Exchange Web服务(EWS)在客户端中,自动发现通常用于查找EWS端点URL。但是,自动发现还可以提供配置使用其他协议的客户端的信息。自动发现适用于防火墙内外以及资源林和多林场景中的客户端应用程序。”。
这可以归结为Exchange电子邮件服务器的一项功能,它允许电子邮件客户端自动发现电子邮件服务器,提供凭据,然后接收正确的配置。旨在让用户的生活更轻松,同时忘记此类设计需要考虑安全性。因为网络罪犯喜欢这些功能,并将其用于自己的目的。
它怎么能被滥用?
该协议的目标是使最终用户能够仅通过提供用户名和密码来完全配置其Outlook客户端,并将其余配置留给Microsoft Exchange的自动发现协议。
为了实现这一点,自动发现协议将查找这些格式的有效自动发现URL,其中example.com替换为用户电子邮件地址中的域名(@后的部分):
https://autodiscover.example.com/ Autodiscover Autodiscover.xml http://autodiscover。example.com/ Autodiscover Autodiscover.xml https://example.com/ Autodiscover Autodiscover.xml http://example.com/自动发现/Autodiscover.xml
这意味着,首先,自动发现在用户所属的组织所拥有的域或子域中寻找URL,因此错误被包含,不太可能导致问题。但是,如果上面的任何一个都没有发送有效的响应,那么进程就会变得不稳定,它可能已经放弃了。
如果这些尝试失败,那么下一个尝试生成自动发现URL会删除example.com将查找限制在用户组织的部分如下:
http://autodiscover.com/Autodiscover/Autodiscover.xml
这就给了所有拥有域名的人autodiscover.com这是一个巨大的机会。
对于其他自动发现顶级域(tld)也是如此,例如自动发现,它将接收所有未响应的请求。域名。
要完成此任务,服务器端不需要登录过程。试图设置Exchange帐户的毫无戒心的用户只是将其凭据发送到未知服务器。在发送经过身份验证的请求之前,客户端也不会尝试检查资源是否可用,甚至服务器上是否存在资源。
情况有多糟?
请务必了解,由于Microsoft Exchange是Microsoft域套件解决方案的一部分,因此登录基于Exchange的收件箱所需的凭据在大多数情况下与其域凭据相同。如此大规模的域凭据泄漏可能造成巨大的后果,并可能使整个组织处于危险之中。尤其是鉴于每天都在报道的勒索软件攻击。除了使用合法和有效的凭据进入组织,攻击者还有什么更容易的方法?
我通过快速搜索了解到,在大多数大型顶级域名中,自动发现域已经被选中了。
一些最危险的病毒已经被研究人员登记用于测试。
检测和缓解
组织可以通过建立自己的自动发现域并阻止自动发现来保护自己。TLD域在防火墙或在他们的本地DNS。用户可以阻止自动发现。TLD域主机文件.
在他们的产品中实现自动发现协议的软件供应商和开发人员应该确保他们不会让它“失败向上”,这意味着像自动发现。不应使用“后退”算法构造。
在部署或配置Exchange server设置时,组织还应确保禁用对基本身份验证的支持。使用HTTP基本身份验证以明文形式发送凭据,使其易于拦截。
当用户被重定向到自动发现时。TLD服务器试图利用泄漏,如果它没有安全证书,或者它有一个自签名的证书,安全警报可能会弹出。如果攻击者部署一个有效的TLS证书虽然。
在凭证获取启动之前,微软没有被告知这个问题,结果已经公布,因此他们仍在调查,并承诺采取适当措施保护客户。
大家注意安全!
评论