Outlook 漏洞導致近 100,000 個密碼洩露
與 Guardicore 合作的安全研究人員發現,在用於處理 Outlook 帳戶的 Microsoft Exchange 電子郵件服務器平台中,自動發現功能的實現方式存在嚴重問題。
自動發現是 Exchange 中的服務,負責輕鬆配置客戶端和協議。它還允許用戶僅使用他們的電子郵件地址和密碼就可以對諸如 Outlook 客戶端之類的東西進行完整的應用程序配置,從而有效地從他們的帳戶設置方式中遷移設置。
研究報告稱自動發現的安全問題“嚴重”,並解釋說它允許威脅行為者攔截純文本格式的憑據。
Guardicore 進一步解釋了問題的嚴重性,詳細說明了一個強大的威脅行為者,一個擁有國家支持的能力和資源的人,可以運行大規模的 DNS 中毒活動,並定期和有條不紊地收集洩露的密碼。
Guardicore 的研究團隊註冊了近十幾個自動發現頂級域,用作憑證劫持的概念驗證測試平台。這些域被配置為連接到由研究團隊運營的服務器。
在不到六個月的時間裡,該團隊捕獲了數十萬個 Windows 域憑據和近 100,000 個從各種電子郵件應用程序洩漏的憑據,包括 Microsoft 自己的 Outlook,以及可配置為與 MS Exchange 服務器一起使用的其他軟件。
最後,研究團隊還能夠對受影響的客戶端強制採用新的身份驗證方法,允許研究人員攔截純文本格式的憑據。
微軟指責 Guardicore 在通知他們之前公開披露了該問題,但該團隊反駁稱該問題並非新問題,這只是它第一次被利用到如此程度和如此大規模設置。