研究人员发现Exchange自动探索配置的瑕疵，并借此取得近40万组Windows网域帐密

协助管理者快速设置使用者邮件设定的机制，竟会曝露用户的电子邮件帐密。例如，资安业者Guardicore最近揭露，他们发现在Exchange Server提供的自动探索（Autodiscover）功能中，会连接一系列的网址，以试图接收相关的配置，但在这个运作过程里，研究人员发现如果用户端的收信程式（如Outlook）在查询时，无法找到Exchange Server相关配置时的“后退（back-off）”机制，恐让攻击者有机会操控，取得使用者帐密等资料。

什么是“自动探索”？简单来说是提供Exchange使用者简化设置收信程式的一项机制。一般而言，使用者在提供电子邮件信箱、密码之余，还要设定POP3、IMAP服务器的位置，而对于Exchange使用者来说，可能还要再加上LDAP和WebDAV行事历的组态，而有了自动探索机制之后，大部分的参数收信软件将透过特定位置的组态档案取得，使用者只要依照指示输入电子邮件信箱和密码，即能完成相关的设定。

而在具体的运作方式而言，Guardicore举出amit@example.com的电子邮件账号为例，这个电子邮件信箱位于example.com网域，因此，收信软件会先从example.com、Autodiscover.example.com来找寻组态档案，完整路径是http(s)://Autodiscover.example.com/Autodiscover/Autodiscover.xml、http(s)://example.com/Autodiscover/Autodiscover.xml。

但若是上述企业所属的URL都无法取得XML组态档案时，收信软件就会尝试存取外部的http://Autodiscover.com/Autodiscover/Autodiscover.xml。这代表着一旦收信软件无法连线到原本的example.com网域，就会存取Autodiscover.com，而该网域的持有者会收到这类的请求。由于当收信软件存取组态档案时，也同时带有使用者的帐密，换言之，假若攻击者掌控了像是Autodiscover.com这种网域，或是能够监听该网络的流量，就有可能拦截到明文的网域帐密（HTTP基本身份验证资料）。

为了验证这项发现，Guardicore注册了多个“Autodiscover”开头的顶级网域，如Autodiscover.com.br、Autodiscover.com.cn、Autodiscover.fr等，架设服务器进行研究（但并未提及服务器的种类），经过后4个多月的观察（2021年4月16日至8月25日），研究人员架设的服务器收到数百个请求，内容包含数千个帐密的完整资料。Guardicore表示，他们总共截取到372,072个Windows网域帐密，以及96,671个来自不同应用程序的个别帐密。

而从研究人员收到账密的资料来源来看，Guardicore表示涵盖多种产业，包含食品制造业、银行、发电厂、电力输送、房仲、物流、珠宝等。

研究人员认为，这是微软对于自动探索机制的设计瑕疵，并提出缓解措施，呼吁IT人员应采取行动。例如，在用户端的电脑上，Guardicore提供了Autodiscover顶级网域的封锁名单，以免收信软件找不到组态档案时，连线到这些可能存在风险的网域；而对于IT人员来说，也应该停用Exchange Server的HTTP基本身份验证机制，来避免明文帐密传输的情况；再者，管理者也要确定企业内部提供的组态档案，能被收信软件正确读取，以免让收信软件连结到外部网站，导致使用者的帐密面临遭到监听的风险。

对于这项发现，资安新闻网站The Record也向微软进行确认，微软表示他们正在积极调查此事，但在研究人员公布相关研究成果之前，他们并未接获Guardicore的通报。