Outlook 漏洞導致近 100,000 個密碼洩露

與 Guardicore 合作的安全研究人員發現，在用於處理 Outlook 帳戶的 Microsoft Exchange 電子郵件服務器平台中，自動發現功能的實現方式存在嚴重問題。

自動發現是 Exchange 中的服務，負責輕鬆配置客戶端和協議。它還允許用戶僅使用他們的電子郵件地址和密碼就可以對諸如 Outlook 客戶端之類的東西進行完整的應用程序配置，從而有效地從他們的帳戶設置方式中遷移設置。

研究報告稱自動發現的安全問題“嚴重”，並解釋說它允許威脅行為者攔截純文本格式的憑據。

Guardicore 進一步解釋了問題的嚴重性，詳細說明了一個強大的威脅行為者，一個擁有國家支持的能力和資源的人，可以運行大規模的 DNS 中毒活動，並定期和有條不紊地收集洩露的密碼。

Guardicore 的研究團隊註冊了近十幾個自動發現頂級域，用作憑證劫持的概念驗證測試平台。這些域被配置為連接到由研究團隊運營的服務器。

在不到六個月的時間裡，該團隊捕獲了數十萬個 Windows 域憑據和近 100,000 個從各種電子郵件應用程序洩漏的憑據，包括 Microsoft 自己的 Outlook，以及可配置為與 MS Exchange 服務器一起使用的其他軟件。

最後，研究團隊還能夠對受影響的客戶端強制採用新的身份驗證方法，允許研究人員攔截純文本格式的憑據。

微軟指責 Guardicore 在通知他們之前公開披露了該問題，但該團隊反駁稱該問題並非新問題，這只是它第一次被利用到如此程度和如此大規模設置。