由于微軟Exchange使用的自動發現協議的設計和實現，Guardicore公司網絡安全研究人員已經能夠捕獲數十萬個Windows域和應用程序憑據。根據Microsoft的說法，Exchange自動發現服務“為您的客戶端應用程序提供了一種簡單的方法，以最少的用戶輸入來配置自己”。例如，這允許用戶只需要提供用戶名和密碼就可以配置Outlook客戶端。早在2017年，研究人員就警告稱，移動電子郵件客戶端自動發現的實現問題可能導致信息泄露，當時披露的漏洞已得到修補。然而，今年早些時候，云和數據中心安全公司Guardicore進行的一項分析顯示，自動發現的設計和實現仍然存在一些嚴重的問題。

　　微軟的自動發現協議旨在簡化Exchange客戶機（如Microsoft Outlook）的配置。該協議的目標是讓終端用戶能夠完全配置他們的Outlook客戶端只提供他們的用戶名和口令，并將其余的配置留給Microsoft Exchange的自動發現協議。因為Microsoft Exchange是解決方案的“Microsoft域套件”的一部分，所以在大多數情況下，登錄到基于Exchange的收件箱所必需的憑據就是他們的域憑據，理解這一點很重要。

　　這個問題與“回退”程序有關。當使用“自動發現”配置客戶端時，客戶端將嘗試基于用戶提供的電子郵件地址構建URL。URL看起來像這樣：https://Autodiscover.example.com/Autodiscover/Autodiscover.xml或https://example.com/Autodiscover/Autodiscover.xml。

　　但是，如果沒有URL響應，“回退”機制就會啟動，并嘗試聯系以下格式的URL:

　　http://Autodiscover.com/Autodiscover/Autodiscover.xml。

　　Guardicore解釋說：“這意味著無論Autodiscover.com的所有者是誰，都將收到所有無法到達原域名的請求。”

　　該公司注冊了近12個自動發現域名（例如Autodiscover.com.cn, Autodiscover.es, Autodiscover。在autodiscovery .uk中），并將它們分配給它控制下的web服務器。

　　從2021年4月16日到2021年8月25日，他們的服務器從Outlook和移動電子郵件客戶端等應用程序中獲取了超過37萬份Windows域證書和超過9.6萬份獨特證書。

　　這些證書來自上市公司、食品制造商、發電廠、投資銀行、航運和物流公司、房地產公司、時尚和珠寶公司。如此規模的域證書泄漏的影響是巨大的，并可能將組織置于危險之中。特別是在今天的勒索軟件攻擊肆虐的世界中，攻擊者進入組織最簡單的方法是使用合法和有效的憑證。

　　“這是一個嚴重的安全問題，因為如果攻擊者能夠控制這樣的域或有能力在同一網絡中‘嗅嗅’流量，他們就可以捕獲通過網絡傳輸的純文本域憑據（HTTP基本身份驗證）。此外，如果攻擊者具有大規模DNS投毒能力（如民族國家的攻擊者），他們可以通過基于這些自動發現頂級域名的大規模DNS投毒活動，系統地抽取泄露的口令，”Guardicore說。

　　2017年，Shape Security的研究人員發表了一篇論文，討論了自動發現在手機郵件客戶端（如Android上的三星郵件客戶端和iOS上的蘋果郵件客戶端）上的實現如何導致這種泄露（CVE-2016-9940, CVE-2017-2414）。Shape Security披露的漏洞已經得到了修補，然而，我們在2021年面臨的威脅要大得多，只需要在電子郵件客戶端以外的更多第三方應用程序上處理完全相同的問題。這些應用程序將其用戶暴露在同樣的風險中。Guardicore已經對一些受影響的供應商啟動了負責任的披露程序。

　　研究人員還設計了一種攻擊，可以用來降低客戶端的認證方案，使攻擊者能夠獲得明文的證書。客戶端最初將嘗試使用安全的身份驗證方案，如NTLM或OAuth，以保護憑證不被窺探，但攻擊導致身份驗證降級為HTTP基本身份驗證，其中憑證以明文發送。

　　Guardicore指出，數據泄漏的發生與應用程序開發人員實現協議的方式有關。它們可以防止它構建可能被攻擊者濫用的url。

　　通常，攻擊者會試圖通過應用各種技術（無論是技術還是社會工程）來讓用戶發送他們的憑證。然而，這一事件表明，口令可以通過一種協議泄露到組織的外圍，該協議旨在簡化IT部門關于電子郵件客戶端配置的操作，而IT或安全部門的任何人甚至都不知道它，強調了正確網絡分段和零信任的重要性。

　　Guardicore表示其實驗室正在繼續努力，通過發現、警告和披露這些問題，以確保網絡、應用程序和協議的安全。