由于微软Exchange使用的自动发现协议的设计和实现，Guardicore公司网络安全研究人员已经能够捕获数十万个Windows域和应用程序凭据。根据Microsoft的说法，Exchange自动发现服务“为您的客户端应用程序提供了一种简单的方法，以最少的用户输入来配置自己”。例如，这允许用户只需要提供用户名和密码就可以配置Outlook客户端。早在2017年，研究人员就警告称，移动电子邮件客户端自动发现的实现问题可能导致信息泄露，当时披露的漏洞已得到修补。然而，今年早些时候，云和数据中心安全公司Guardicore进行的一项分析显示，自动发现的设计和实现仍然存在一些严重的问题。

　　微软的自动发现协议旨在简化Exchange客户机（如Microsoft Outlook）的配置。该协议的目标是让终端用户能够完全配置他们的Outlook客户端只提供他们的用户名和口令，并将其余的配置留给Microsoft Exchange的自动发现协议。因为Microsoft Exchange是解决方案的“Microsoft域套件”的一部分，所以在大多数情况下，登录到基于Exchange的收件箱所必需的凭据就是他们的域凭据，理解这一点很重要。

　　这个问题与“回退”程序有关。当使用“自动发现”配置客户端时，客户端将尝试基于用户提供的电子邮件地址构建URL。URL看起来像这样：https://Autodiscover.example.com/Autodiscover/Autodiscover.xml或https://example.com/Autodiscover/Autodiscover.xml。

　　但是，如果没有URL响应，“回退”机制就会启动，并尝试联系以下格式的URL:

　　http://Autodiscover.com/Autodiscover/Autodiscover.xml。

　　Guardicore解释说：“这意味着无论Autodiscover.com的所有者是谁，都将收到所有无法到达原域名的请求。”

　　该公司注册了近12个自动发现域名（例如Autodiscover.com.cn, Autodiscover.es, Autodiscover。在autodiscovery .uk中），并将它们分配给它控制下的web服务器。

　　从2021年4月16日到2021年8月25日，他们的服务器从Outlook和移动电子邮件客户端等应用程序中获取了超过37万份Windows域证书和超过9.6万份独特证书。

　　这些证书来自上市公司、食品制造商、发电厂、投资银行、航运和物流公司、房地产公司、时尚和珠宝公司。如此规模的域证书泄漏的影响是巨大的，并可能将组织置于危险之中。特别是在今天的勒索软件攻击肆虐的世界中，攻击者进入组织最简单的方法是使用合法和有效的凭证。

　　“这是一个严重的安全问题，因为如果攻击者能够控制这样的域或有能力在同一网络中‘嗅嗅’流量，他们就可以捕获通过网络传输的纯文本域凭据（HTTP基本身份验证）。此外，如果攻击者具有大规模DNS投毒能力（如民族国家的攻击者），他们可以通过基于这些自动发现顶级域名的大规模DNS投毒活动，系统地抽取泄露的口令，”Guardicore说。

　　2017年，Shape Security的研究人员发表了一篇论文，讨论了自动发现在手机邮件客户端（如Android上的三星邮件客户端和iOS上的苹果邮件客户端）上的实现如何导致这种泄露（CVE-2016-9940, CVE-2017-2414）。Shape Security披露的漏洞已经得到了修补，然而，我们在2021年面临的威胁要大得多，只需要在电子邮件客户端以外的更多第三方应用程序上处理完全相同的问题。这些应用程序将其用户暴露在同样的风险中。Guardicore已经对一些受影响的供应商启动了负责任的披露程序。

　　研究人员还设计了一种攻击，可以用来降低客户端的认证方案，使攻击者能够获得明文的证书。客户端最初将尝试使用安全的身份验证方案，如NTLM或OAuth，以保护凭证不被窥探，但攻击导致身份验证降级为HTTP基本身份验证，其中凭证以明文发送。

　　Guardicore指出，数据泄漏的发生与应用程序开发人员实现协议的方式有关。它们可以防止它构建可能被攻击者滥用的url。

　　通常，攻击者会试图通过应用各种技术（无论是技术还是社会工程）来让用户发送他们的凭证。然而，这一事件表明，口令可以通过一种协议泄露到组织的外围，该协议旨在简化IT部门关于电子邮件客户端配置的操作，而IT或安全部门的任何人甚至都不知道它，强调了正确网络分段和零信任的重要性。

　　Guardicore表示其实验室正在继续努力，通过发现、警告和披露这些问题，以确保网络、应用程序和协议的安全。