メモURL

• Autodiscovering the Great Leak - Guardicore
• Microsoft Exchange Autodiscover bugs leak 100K Windows credentials

さらに今月に入ってMicrosoft Exchange Autodiscoveryの欠陥によって10万件におよぶクレデンシャル情報が漏洩していた可能性があることが報告されました。 この情報漏洩のメカニズムを理解するには、Microsoft Exchangeがサポートするメールアカウント構成情報の自動検出機能（Autodiscovery）の仕組みから説明していく必要がありますが、詳細は以下の研究者の報告や外部ソースをご参照ください。 Autodiscovering the Great Leak https://www.guardicore.com/labs/autodiscovering-the-great-leak/

Microsoft Exchange Autodiscover bugs leak 100K Windows credentials https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-autodiscover-bugs-leak-100k-windows-credentials/

研究者はこの欠陥を調査する過程で、今年の4月16日から8月25日の間に以下のような情報をキャプチャできたとしています。

・合計372,072件のWindows Domainのクレデンシャル情報 ・Outlook、モバイルメールクライアント、その他Exchangeサーバーと連携しているアプリケーションから漏洩した96,671件のユニークなクレデンシャル情報

これらの資格情報が収集できたドメインには、“中国市場で上場している企業、食品メーカー、投資銀行、発電所、電力供給、不動産、配送とロジスティクス、ファッションとジュエリー”などが含まれているようです。 さらにこれらの情報はネットワーク上においてプレーンテキストで転送されるため、仮に攻撃者がネットワーク内でスニッフィングする技術を有している場合には、容易にドメイン資格情報を取得できる重要なセキュリティ欠陥だと主張されています。

研究者は組織や開発者がこれらのMicrosoft Exchange Autodiscoverリークを軽減するために使用できるいくつかの提案を提供しています。

・Microsoft Exchangeを使用している組織の場合、ファイアウォールまたはDNSサーバーですべてのAutodiscover.(TLD)のドメインをブロックして、デバイスがそれらに接続できないようにする必要があります。 （研究チームは、アクセスルールの作成に使用できるすべての自動検出ドメインを含むテキストファイルを作成し、報告しています。前述のURLからご確認ください） ・Exchangeセットアップを構成する際に、組織は基本認証を無効にすることも推奨されています。これは、基本認証ではクリアテキストで資格情報を送信するためです。

• engineers.ntt.com
• engineers.ntt.com