近日，安全专家发现微软 Exchange 电子邮件服务器中的某项功能存在设计缺陷，能被滥用于获取世界各地用户的 Windows 域和应用程序凭证。该漏洞由安全公司 Guardicore 的安全研究副总裁 Amit Serper 发现，它存在于 Microsoft Autodiscover 协议中。

该协议是 Exchange 电子邮件服务器的一个重要部分，允许管理员以一种简单的方式确保客户使用正确的 SMTP、IMAP、LDAP、WebDAV 和其他设置；允许电子邮件客户自动发现电子邮件服务器，提供凭证，然后接收适当的配置。

但为了获得这些自动配置，电子邮件客户通常会 ping 一系列预先确定的 URL，这些 URL 来自用户的电子邮件地址域

● https://autodiscover.example.com/autodiscover/autodiscover.xml

● http://autodiscover.example.com/autodiscover/autodiscover.xml

● https://example.com/autodiscover/autodiscover.xml

● http://example.com/autodiscover/autodiscover.xml

Serper 表示他发现 Autodiscover 机制使用了“back-off”（回避）程序，以防它在第一次尝试时没有找到 Exchange 服务器的 Autodiscover 端点。他表示：

这个“回避”机制是这个泄漏的罪魁祸首，因为它总是试图解决域的自动发现部分，它总是试图“失败”。意思是说，下一次试图建立一个自动发现的 URL 的结果将是：http://autodiscover.com/autodiscover/autodiscover.xml。这意味着谁拥有 autodiscover.com，谁就会收到所有无法到达原始域名的请求。

根据他的发现，Serper 说他注册了一系列基于 Autodiscover 的顶级域名，这些域名在网上仍然可用。这包括：

● Autodiscover.com.br - 巴西

● Autodiscover.com.cn - 中国

● Autodiscover.com.co--哥伦比亚

● Autodiscover.es - 西班牙

● Autodiscover.fr - 法国

● Autodiscover.in - 印度

● Autodiscover.it - 意大利

● Autodiscover.sg - 新加坡

● Autodiscover.uk - 英国

● Autodiscover.xyz

● Autodiscover.online

该研究人员说，Guardicore 在这些服务器上运行蜜罐，以了解问题的规模。在 2021 年 4 月 16 日至 2021 年 8 月 25 日之间的四个多月里，Serper 说这些服务器收到了数百个请求，其中有成千上万的凭证，这些用户试图设置他们的电子邮件客户端，但他们的电子邮件客户端未能找到他们雇主的适当 Autodiscover 端点。

Serper 在今天发表的一份报告中解释说：“我们收到的大量请求的有趣问题是，在发送认证请求之前，客户端没有尝试检查资源是否可用，甚至在服务器上是否存在。Guardicore 已经捕获了 372,072 个 Windows 域证书和 96,671 个来自微软 Outlook 等各种应用程序的独特证书”。

在筛选到连接到他们的蜜罐的域名时，Serper 说他发现了来自多个垂直行业的公司的凭证，例如。

● 食品制造商

● 投资银行

● 电厂

● 电力输送

● 房地产

● 航运和物流

● 时尚和珠宝

所有收集到的凭证都是通过未加密的HTTP基本认证连接，但Serper在今天的报告中也详细介绍了从更安全的认证形式（如NTLM和Oauth）收集凭证的方法。虽然 Serper 提供了一些缓解措施，以防止系统管理员和电子邮件软件制造商的这些泄漏，但微软方面也需要对 Autodiscover 协议设计进行更新。

微软就 Guardicore 的发现发表了以下评论。

我们正在积极调查，并将采取适当的措施来保护客户。我们致力于协调漏洞披露，这是一种行业标准的合作方式，可以在问题公开之前为客户减少不必要的风险。不幸的是，在研究人员营销团队向媒体介绍这个问题之前，没有向我们报告这个问题，所以我们今天才知道这个说法。