BOB(中国)官方入口-BOB体育官网登陆

BOB综合体育在线 MicrosoftExchange中的Autodiscover漏洞泄露大量凭证

按照新的Guardicore钻研BOB综合体育在线,MicrosoftExchange中操纵的制定Autodiscover存在漏洞,该漏洞导致各栽Windows和Microsoft登录凭证遭泄露。

Exchange操纵Autodiscover自动配置客户端行使程序,例如MicrosoftOutlook。企业坦然供答商Guardicore的坦然钻研区域副总裁AmitSerper在该公司特意针对该漏洞的帖子中写道,Autodiscover存在一个设计弱点,导致该制定将Web乞求‘泄露’到用户域外的Autodiscover域,但仍在联相符顶级域中,例如Autodiscover.com。

Guardicore钻研人员随后测试了该漏洞。

Serper在该博客文章中写道:“GuardicoreLabs购得多个带有TLD后缀的Autodiscover域,并将它们竖立为定向到吾们限制的Web服务器。此后不久,吾们检测到大量泄露的Windows域凭证到达吾们服务器。”

该供答商购买的域名示例包括Autodiscover.com.br、Autodiscover.com.cn和Autodiscover.com.co;该帖子包含相关域名如何被滥用的大量技术细节。

Serper写道,从4月16日到8月25日BOB综合体育在线,Guardicore行使该漏洞捕获372,072个Windows域凭据和96,671个从各栽行使程序泄露的稀奇凭据,例如MicrosoftOutlook、移动电子邮件客户端和其他与MicrosoftExchange服务器连接的行使程序。

Autodiscover漏洞并不是一个新题目。Serper外示,ShapeSecurity于2017年始次吐露了该中央漏洞,并于以前在BlackHatAsia上展现了调查效果。那时,CVE-2016-9940和CVE-2017-2414漏洞被发现仅影响移动设备上的电子邮件客户端。Serper写道:“ShapeSecurity吐露的漏洞已得到修缮,但是,BOB综合体育在线在2021年吾们面临更大的胁迫更多第三方行使程序面临相通的题目。”

该文章挑出了两栽缓解措施:一栽针对公多一栽针对柔件开发人员和供答商。

对于操纵Exchange的清淡公多Guardicore提出用户在其防火墙中不准Autodiscover域。Serper还外示在配置Exchange竖立时用户答该“确保禁用对基自己份验证的声援”。Serper不息说道“操纵HTTP基自己份验证相等于经由过程网络以明文方法发送暗号。”

与此同时开发人员答该确保他们不会让Autodiscover制定蔓延。

Serper称:“请确保在你的产品中安放Autodiscover制准时即Autodiscover等域永久不该该由‘退避’算法构建。”

漏洞吐露纠纷

微柔指斥Guardicore在发布其钻研之前异国按照漏洞吐露流程。这家科技巨头与SearchSecurity分享了以下声明自微柔高级总监JeffJones。

Jones写到:“吾们正在积极调查并将采取正当措施珍惜客户。吾们致力于调解漏洞吐露这是一栽走业标准的配相符手段可在题目公开之前为客户降矮不消要的风险。倒霉的是在钻研人员营销团队向媒体展现此题目之前并未向吾们通知此题目。”

Serper在周三夜晚的一条推文中回答了这一声明该声明已发送给其他媒体。

他外示:“吾的通知懂得地引用了2017年挑出这个题目的钻研:请参阅2017年的这篇论文正如BlackHatAsia2017中挑出的那样。这不是0day这已经过了1460天起码。微柔不能够不晓畅这个漏洞。”

鸿蒙官方战略配相符共建——HarmonyOS技术社区BOB综合体育在线


Powered by BOB(中国)官方入口-BOB体育官网登陆 @2018 RSS地图 HTML地图