Outlook 漏洞导致近 100,000 个密码泄露

与 Guardicore 合作的安全研究人员发现，在用于处理 Outlook 帐户的 Microsoft Exchange 电子邮件服务器平台中，自动发现功能的实现方式存在严重问题。

自动发现是 Exchange 中的服务，负责轻松配置客户端和协议。它还允许用户仅使用他们的电子邮件地址和密码就可以对诸如 Outlook 客户端之类的东西进行完整的应用程序配置，从而有效地从他们的帐户设置方式中迁移设置。

研究报告称自动发现的安全问题“严重”，并解释说它允许威胁行为者拦截纯文本格式的凭据。

Guardicore 进一步解释了问题的严重性，详细说明了一个强大的威胁行为者，一个拥有国家支持的能力和资源的人，可以运行大规模的 DNS 中毒活动，并定期和有条不紊地收集泄露的密码。

Guardicore 的研究团队注册了近十几个自动发现顶级域，用作凭证劫持的概念验证测试平台。这些域被配置为连接到由研究团队运营的服务器。

在不到六个月的时间里，该团队捕获了数十万个 Windows 域凭据和近 100,000 个从各种电子邮件应用程序泄漏的凭据，包括 Microsoft 自己的 Outlook，以及可配置为与 MS Exchange 服务器一起使用的其他软件。

最后，研究团队还能够对受影响的客户端强制采用新的身份验证方法，允许研究人员拦截纯文本格式的凭据。

微软指责 Guardicore 在通知他们之前公开披露了该问题，但该团队反驳称该问题并非新问题，这只是它第一次被利用到如此程度和如此大规模设置。