Outlook Bug fører til lækage af næsten 100.000 adgangskoder
En sikkerhedsforsker, der arbejder med Guardicore, fandt et alvorligt problem med den måde, hvorpå autodiscover -funktionen er implementeret i Microsofts Exchange -e -mail -serverplatform, der bruges til håndtering af Outlook -konti.
Autodiscover er den service i Exchange, der er ansvarlig for den nemme konfiguration af klienter og protokoller. Det giver også brugere mulighed for at gå i fuld applikationskonfiguration af noget som Outlook -klienten med kun deres e -mail -adresse og adgangskode, hvilket effektivt overfører indstillinger fra den måde, deres konto er konfigureret på.
Forskningsrapporten kaldte sikkerhedsproblemet med autodiscover "alvorligt" og forklarede, at det giver trusselsaktører mulighed for at opfange legitimationsoplysninger i deres almindelige tekstformat.
Guardicore forklarede yderligere problemets alvor og detaljerede, at en stærk trusselsaktør, en med kapaciteter og ressourcer bakket op af en stat, kan køre en massiv DNS-forgiftningskampagne og periodisk og metodisk indsamle utætte adgangskoder.
Forskergruppen hos Guardicore registrerede næsten et dusin autodiscover top-level domæner, der skal bruges som proof-of-concept test senge til kapring af legitimationsoplysninger. Domænerne blev konfigureret til at oprette forbindelse til en server, der drives af forskerholdet.
Inden for en periode på mindre end seks måneder indsamlede teamet hundredtusinder af Windows -domæneoplysninger og næsten 100.000 legitimationsoplysninger, der lækker fra forskellige e -mail -applikationer, herunder Microsofts egen Outlook, samt anden software, der kan konfigureres til at fungere med MS Exchange -servere.
Endelig kunne forskerteamet også tvinge en ny godkendelsesmetode til de berørte klienter, så forskerne kunne opfange legitimationsoplysninger i almindeligt tekstformat.
Microsoft anklagede Guardicore for at afsløre problemet offentligt, før de først informerede dem om det, men teamet modbeviste dette med påstanden om, at problemet ikke var nyt, det var bare første gang det blev udnyttet i så høj grad og i så stor en skala Opsætning.
