由于微軟Exchange使用的自動發(fā)現(xiàn)協(xié)議的設(shè)計和實現(xiàn)，Guardicore公司網(wǎng)絡(luò)安全研究人員已經(jīng)能夠捕獲數(shù)十萬個Windows域和應用程序憑據(jù)。根據(jù)Microsoft的說法，Exchange自動發(fā)現(xiàn)服務“為您的客戶端應用程序提供了一種簡單的方法，以最少的用戶輸入來配置自己”。例如，這允許用戶只需要提供用戶名和密碼就可以配置Outlook客戶端。早在2017年，研究人員就警告稱，移動電子郵件客戶端自動發(fā)現(xiàn)的實現(xiàn)問題可能導致信息泄露，當時披露的漏洞已得到修補。然而，今年早些時候，云和數(shù)據(jù)中心安全公司Guardicore進行的一項分析顯示，自動發(fā)現(xiàn)的設(shè)計和實現(xiàn)仍然存在一些嚴重的問題。

　　微軟的自動發(fā)現(xiàn)協(xié)議旨在簡化Exchange客戶機（如Microsoft Outlook）的配置。該協(xié)議的目標是讓終端用戶能夠完全配置他們的Outlook客戶端只提供他們的用戶名和口令，并將其余的配置留給Microsoft Exchange的自動發(fā)現(xiàn)協(xié)議。因為Microsoft Exchange是解決方案的“Microsoft域套件”的一部分，所以在大多數(shù)情況下，登錄到基于Exchange的收件箱所必需的憑據(jù)就是他們的域憑據(jù)，理解這一點很重要。

　　這個問題與“回退”程序有關(guān)。當使用“自動發(fā)現(xiàn)”配置客戶端時，客戶端將嘗試基于用戶提供的電子郵件地址構(gòu)建URL。URL看起來像這樣：https://Autodiscover.example.com/Autodiscover/Autodiscover.xml或https://example.com/Autodiscover/Autodiscover.xml。

　　但是，如果沒有URL響應，“回退”機制就會啟動，并嘗試聯(lián)系以下格式的URL:

　　http://Autodiscover.com/Autodiscover/Autodiscover.xml。

　　Guardicore解釋說：“這意味著無論Autodiscover.com的所有者是誰，都將收到所有無法到達原域名的請求。”

　　該公司注冊了近12個自動發(fā)現(xiàn)域名（例如Autodiscover.com.cn, Autodiscover.es, Autodiscover。在autodiscovery .uk中），并將它們分配給它控制下的web服務器。

　　從2021年4月16日到2021年8月25日，他們的服務器從Outlook和移動電子郵件客戶端等應用程序中獲取了超過37萬份Windows域證書和超過9.6萬份獨特證書。

　　這些證書來自上市公司、食品制造商、發(fā)電廠、投資銀行、航運和物流公司、房地產(chǎn)公司、時尚和珠寶公司。如此規(guī)模的域證書泄漏的影響是巨大的，并可能將組織置于危險之中。特別是在今天的勒索軟件攻擊肆虐的世界中，攻擊者進入組織最簡單的方法是使用合法和有效的憑證。

　　“這是一個嚴重的安全問題，因為如果攻擊者能夠控制這樣的域或有能力在同一網(wǎng)絡(luò)中‘嗅嗅’流量，他們就可以捕獲通過網(wǎng)絡(luò)傳輸?shù)募兾谋居驊{據(jù)（HTTP基本身份驗證）。此外，如果攻擊者具有大規(guī)模DNS投毒能力（如民族國家的攻擊者），他們可以通過基于這些自動發(fā)現(xiàn)頂級域名的大規(guī)模DNS投毒活動，系統(tǒng)地抽取泄露的口令，”Guardicore說。

　　2017年，Shape Security的研究人員發(fā)表了一篇論文，討論了自動發(fā)現(xiàn)在手機郵件客戶端（如Android上的三星郵件客戶端和iOS上的蘋果郵件客戶端）上的實現(xiàn)如何導致這種泄露（CVE-2016-9940, CVE-2017-2414）。Shape Security披露的漏洞已經(jīng)得到了修補，然而，我們在2021年面臨的威脅要大得多，只需要在電子郵件客戶端以外的更多第三方應用程序上處理完全相同的問題。這些應用程序?qū)⑵溆脩舯┞对谕瑯拥娘L險中。Guardicore已經(jīng)對一些受影響的供應商啟動了負責任的披露程序。

　　研究人員還設(shè)計了一種攻擊，可以用來降低客戶端的認證方案，使攻擊者能夠獲得明文的證書。客戶端最初將嘗試使用安全的身份驗證方案，如NTLM或OAuth，以保護憑證不被窺探，但攻擊導致身份驗證降級為HTTP基本身份驗證，其中憑證以明文發(fā)送。

　　Guardicore指出，數(shù)據(jù)泄漏的發(fā)生與應用程序開發(fā)人員實現(xiàn)協(xié)議的方式有關(guān)。它們可以防止它構(gòu)建可能被攻擊者濫用的url。

　　通常，攻擊者會試圖通過應用各種技術(shù)（無論是技術(shù)還是社會工程）來讓用戶發(fā)送他們的憑證。然而，這一事件表明，口令可以通過一種協(xié)議泄露到組織的外圍，該協(xié)議旨在簡化IT部門關(guān)于電子郵件客戶端配置的操作，而IT或安全部門的任何人甚至都不知道它，強調(diào)了正確網(wǎng)絡(luò)分段和零信任的重要性。

　　Guardicore表示其實驗室正在繼續(xù)努力，通過發(fā)現(xiàn)、警告和披露這些問題，以確保網(wǎng)絡(luò)、應用程序和協(xié)議的安全。