Outlook 漏洞导致近 100,000 个密码泄露
与 Guardicore 合作的安全研究人员发现,在用于处理 Outlook 帐户的 Microsoft Exchange 电子邮件服务器平台中,自动发现功能的实现方式存在严重问题。
自动发现是 Exchange 中的服务,负责轻松配置客户端和协议。它还允许用户仅使用他们的电子邮件地址和密码就可以对诸如 Outlook 客户端之类的东西进行完整的应用程序配置,从而有效地从他们的帐户设置方式中迁移设置。
研究报告称自动发现的安全问题“严重”,并解释说它允许威胁行为者拦截纯文本格式的凭据。
Guardicore 进一步解释了问题的严重性,详细说明了一个强大的威胁行为者,一个拥有国家支持的能力和资源的人,可以运行大规模的 DNS 中毒活动,并定期和有条不紊地收集泄露的密码。
Guardicore 的研究团队注册了近十几个自动发现顶级域,用作凭证劫持的概念验证测试平台。这些域被配置为连接到由研究团队运营的服务器。
在不到六个月的时间里,该团队捕获了数十万个 Windows 域凭据和近 100,000 个从各种电子邮件应用程序泄漏的凭据,包括 Microsoft 自己的 Outlook,以及可配置为与 MS Exchange 服务器一起使用的其他软件。
最后,研究团队还能够对受影响的客户端强制采用新的身份验证方法,允许研究人员拦截纯文本格式的凭据。
微软指责 Guardicore 在通知他们之前公开披露了该问题,但该团队反驳称该问题并非新问题,这只是它第一次被利用到如此程度和如此大规模设置。