近日，安全專家發現微軟 Exchange 電子郵件伺服器中的某項功能存在設計缺陷，能被濫用於獲取世界各地使用者的 Windows 域和應用程式憑證。 該漏洞由安全公司 Guardicore 的安全研究副總裁 Amit Serper 發現，它存在於 Microsoft Autodiscover 協定中。

该协议是 Exchange 电子邮件服务器的一个重要部分，允许管理员以一种简单的方式确保客户使用正确的 SMTP、IMAP、LDAP、WebDAV 和其他设置；允许电子邮件客户自动发现电子邮件服务器，提供凭证，然后接收适当的配置。

但为了获得这些自动配置，电子邮件客户通常会 ping 一系列预先确定的 URL，这些 URL 来自用户的电子邮件地址域

● https://autodiscover.example.com/autodiscover/autodiscover.xml

● http://autodiscover.example.com/autodiscover/autodiscover.xml

● https://example.com/autodiscover/autodiscover.xml

● http://example.com/autodiscover/autodiscover.xml

Serper 表示他發現 Autodiscover 機制使用了”back-off”（迴避）程式，以防它在第一次嘗試時沒有找到 Exchange 伺服器的 Autodiscover 端點。 他表示：

這個「迴避」機制是這個洩漏的罪魁禍首，因為它總是試圖解決域的自動發現部分，它總是試圖”失敗”。 意思是說，下一次試圖建立一個自動發現的URL的結果將是：http://autodiscover.com/autodiscover/autodiscover.xml。 這意味著誰擁有 autodiscover.com，誰就會收到所有無法到達原始功能變數名稱的請求。

根據他的發現，Serper 說他註冊了一系列基於 Autodiscover 的頂級功能變數名稱，這些功能變數名稱在網上仍然可用。 這包括：

● Autodiscover.com.br – 巴西

● Autodiscover.com.cn – 中國

● Autodiscover.com.co–哥倫比亞

● Autodiscover.es – 西班牙

● Autodiscover.fr – 法國

● Autodiscover.in – 印度

● Autodiscover.it – 義大利

● Autodiscover.sg – 新加坡

● Autodiscover.uk – 英國

● Autodiscover.xyz

● Autodiscover.online

該研究人員說，Guardicore 在這些伺服器上運行蜜罐，以了解問題的規模。 在 2021 年 4 月 16 日至 2021 年 8 月 25 日之間的四個多月里，Serper 說這些伺服器收到了數百個請求，其中有成千上萬的憑證，這些使用者試圖設置他們的電子郵件用戶端，但他們的電子郵件用戶端未能找到他們雇主的適當 Autodiscover 端點。

Serper 在今天發表的一份報告中解釋說：”我們收到的大量請求的有趣問題是，在發送認證請求之前，客戶端沒有嘗試檢查資源是否可用，甚至在伺服器上是否存在。 Guardicore 已經捕獲了 372，072 個Windows域證書和 96，671 個來自微軟 Outlook 等各種應用程式的獨特證書”

在篩選到連接到他們的蜜罐的功能變數名稱時，Serper 說他發現了來自多個垂直行業的公司的憑證，例如。

● 食品製造商

● 投資銀行

● 電廠

● 電力輸送

● 房地產

● 航運和物流

● 時尚和珠寶

所有收集到的憑證都是通過未加密的HTTP基本認證連接，但Serper在今天的報告中也詳細介紹了從更安全的認證形式（如NTLM和Oauth）收集憑證的方法。 雖然 Serper 提供了一些緩解措施，以防止系統管理員和電子郵件軟體製造商的這些洩漏，但微軟方面也需要對 Autodiscover 協定設計進行更新。

微軟就 Guardicore 的發現發表了以下評論。

我們正在積極調查，並將採取適當的措施來保護客戶。 我們致力於協調漏洞披露，這是一種行業標準的合作方式，可以在問題公開之前為客戶減少不必要的風險。 不幸的是，在研究人員行銷團隊向媒體介紹這個問題之前，沒有向我們報告這個問題，所以我們今天才知道這個說法。