日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
MicrosoftExchange中的Autodiscover漏洞泄露大量憑證

根據(jù)新的Guardicore研究,Microsoft Exchange中使用的協(xié)議Autodiscover存在漏洞,該漏洞導致各種Windows和Microsoft登錄憑證遭泄漏。

成都創(chuàng)新互聯(lián)專注于東風企業(yè)網(wǎng)站建設,響應式網(wǎng)站建設,電子商務商城網(wǎng)站建設。東風網(wǎng)站建設公司,為東風等地區(qū)提供建站服務。全流程定制網(wǎng)站制作,專業(yè)設計,全程項目跟蹤,成都創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務

Exchange使用Autodiscover來自動配置客戶端應用程序,例如Microsoft Outlook。企業(yè)安全供應商Guardicore的安全研究區(qū)域副總裁Amit Serper在該公司專門針對該漏洞的帖子中寫道,Autodiscover存在一個設計缺陷,導致該協(xié)議將Web請求‘泄漏’到用戶域外的Autodiscover域,但仍在同一頂級域 (TLD) 中,例如 Autodiscover.com。

Guardicore研究人員隨后測試了該漏洞。

Serper在該博客文章中寫道:“Guardicore Labs購得多個帶有 TLD 后綴的 Autodiscover 域,并將它們設置為定向到我們控制的Web服務器。此后不久,我們檢測到大量泄漏的Windows域憑證到達我們服務器?!?/p>

該供應商購買的域名示例包括 Autodiscover.com.br、Autodiscover.com.cn和 Autodiscover.com.co;該帖子包含有關域名如何被濫用的大量技術細節(jié)。

Serper寫道,從4月16日到8月25日,Guardicore利用該漏洞捕獲 372,072 個 Windows 域憑據(jù)和 96,671 個從各種應用程序泄漏的獨特憑據(jù),例如 Microsoft Outlook、移動電子郵件客戶端和其他與 Microsoft Exchange 服務器連接的應用程序。

Autodiscover漏洞并不是一個新問題。Serper表示,Shape Security于 2017 年首次披露了該核心漏洞,并于當年在 Black Hat Asia 上展示了調(diào)查結果。當時,CVE-2016-9940 和 CVE-2017-2414 漏洞被發(fā)現(xiàn)僅影響移動設備上的電子郵件客戶端。Serper寫道:“Shape Security 披露的漏洞已得到修補,但是,在2021年我們面臨更大的威脅,更多第三方應用程序面臨相同的問題?!?/p>

該文章提出了兩種緩解措施:一種針對公眾,一種針對軟件開發(fā)人員和供應商。

對于使用Exchange的普通公眾,Guardicore 建議用戶在其防火墻中阻止Autodiscover域。 Serper 還表示,在配置 Exchange 設置時,用戶應該“確保禁用對基本身份驗證的支持”。Serper 繼續(xù)說道,“使用 HTTP 基本身份驗證相當于通過網(wǎng)絡以明文形式發(fā)送密碼?!?/p>

與此同時,開發(fā)人員應該確保他們不會讓Autodiscover協(xié)議蔓延。

Serper稱:“請確保在你的產(chǎn)品中部署Autodiscover協(xié)議時,即Autodiscover等域永遠不應該由‘退避’算法構建。”

漏洞披露糾紛

微軟批評 Guardicore 在發(fā)布其研究之前沒有遵循漏洞披露流程。這家科技巨頭與 SearchSecurity分享了以下聲明,來自微軟高級總監(jiān)Jeff Jones。

Jones 寫到:“我們正在積極調(diào)查,并將采取適當措施保護客戶。我們致力于協(xié)調(diào)漏洞披露,這是一種行業(yè)標準的協(xié)作方法,可在問題公開之前為客戶降低不必要的風險。不幸的是,在研究人員營銷團隊向媒體展示此問題之前并未向我們報告此問題?!?/p>

Serper 在周三晚上的一條推文中回應了這一聲明,該聲明已發(fā)送給其他媒體。

他表示:“我的報告清楚地引用了2017 年提出這個問題的研究:請參閱 2017 年的這篇論文,正如 Black Hat Asia 2017 中提出的那樣。這不是0day,這已經(jīng)過了1460天,至少。微軟不可能不知道這個漏洞。”


本文題目:MicrosoftExchange中的Autodiscover漏洞泄露大量憑證
文章網(wǎng)址:http://www.5511xx.com/article/dghhisc.html