研究人员发现Exchange自动探索配置的瑕疵

协助管理者快速设置用户邮件设置的机制,竟会暴露用户的电子邮件帐密。例如,安全企业Guardicore最近披露,他们发现在Exchange Server提供的自动探索(Autodiscover)功能中,会连接一系列的网址,以试图接收相关的配置,但在这个运行过程里,研究人员发现如果用户端的收信程序(如Outlook)在查询时,无法找到Exchange Server相关配置时的“后退(back-off)”机制,恐让攻击者有机会操控,取得用户帐密等资料。

什么是“自动探索”?简单来说是提供Exchange用户简化设置收信程序的一项机制。一般而言,用户在提供电子邮件信箱、密码之余,还要设置POP3、IMAP服务器的位置,而对于Exchange用户来说,可能还要再加上LDAP和WebDAV行程表的组态,而有了自动探索机制之后,用户只要依照指示输入电子邮件账号和密码,即能完成相关的设置,而其他邮件服务器的相关参数,收信软件将通过特定位置的组态文件取得。

而在具体的运行方式而言,Guardicore举出amit@example.com的电子邮件账号为例,这个电子邮件信箱位于example.com域名,因此,收信软件会先从example.com、Autodiscover.example.com来找寻组态文件,完整路径是http(s)://Autodiscover.example.com/Autodiscover/Autodiscover.xml、http(s)://example.com/Autodiscover/Autodiscover.xml。

但若是上述企业所属的URL都无法取得XML组态文件时,收信软件就会尝试访问外部的http://Autodiscover.com/Autodiscover/Autodiscover.xml。这代表着一旦收信软件无法连接到原本的example.com域名,就会访问Autodiscover.com,而该域名的持有者会收到这类的请求。由于当收信软件访问组态文件时,也同时带有用户的帐密,换言之,假若攻击者掌控了像是Autodiscover.com这种域名,或是能够监听该网络的流量,就有可能拦截到明文的域名帐密(HTTP基本身份验证资料)。

为了验证这项发现,Guardicore注册了多个“Autodiscover”开头的顶级域名,如Autodiscover.com.br、Autodiscover.com.cn、Autodiscover.fr等,架设服务器进行研究(但并未提及服务器的种类),经过后4个多月的观察(2021年4月16日至8月25日),研究人员架设的服务器收到数百个请求,内容包含数千个帐密的完整资料。Guardicore表示,他们总共截取到372,072个Windows域名帐密,以及96,671个来自不同应用程序的个别帐密。

而从研究人员收到帐密的数据源来看,Guardicore表示涵盖多种产业,包含食品制造业、银行、发电厂、电力输送、房产中介、物流、珠宝等。

研究人员认为,这是微软对于自动探索机制的设计瑕疵,并提出缓解措施,呼吁IT人员应采取行动。例如,在用户端的计算机上,Guardicore提供了Autodiscover顶级域名的封锁名单,以免收信软件找不到组态文件时,连接到这些可能存在风险的域名;而对于IT人员来说,也应该停用Exchange Server的HTTP基本身份验证机制,来避免明文帐密传输的情况;再者,管理者也要确定企业内部提供的组态文件,能被收信软件正确读取,以免让收信软件连接到外部网站,导致用户的帐密面临遭到监听的风险。

对于这项发现,安全新闻网站The Record也向微软进行确认,微软表示他们正在积极调查此事,但在研究人员公布相关研究成果之前,他们并未接获Guardicore的通报。

发表评论