Outlook-Bug führt zum Verlust von fast 100.000 Passwörtern
Ein Sicherheitsforscher, der mit Guardicore zusammenarbeitet, hat ein schwerwiegendes Problem mit der Implementierung der Autodiscover-Funktion in Microsofts Exchange-E-Mail-Serverplattform festgestellt, die für die Verwaltung von Outlook-Konten verwendet wird.
AutoErmittlung ist der Dienst in Exchange, der für die einfache Konfiguration von Clients und Protokollen verantwortlich ist. Es ermöglicht Benutzern auch, die vollständige Anwendungskonfiguration von etwas wie dem Outlook-Client mit nur ihrer E-Mail-Adresse und ihrem Kennwort durchzuführen, wodurch die Einstellungen aus der Art und Weise, wie ihr Konto eingerichtet ist, effektiv migriert werden.
Der Forschungsbericht nannte das Sicherheitsproblem mit Autodiscover "schwerwiegend" und erklärte, dass es Bedrohungsakteuren ermöglicht, Anmeldeinformationen in ihrem Klartextformat abzufangen.
Guardicore erklärte weiter die Schwere des Problems und erklärte, dass ein mächtiger Bedrohungsakteur mit Fähigkeiten und Ressourcen, die von einem Staat unterstützt werden, eine massive DNS-Vergiftungskampagne durchführen und regelmäßig und methodisch undichte Passwörter sammeln kann.
Das Forschungsteam von Guardicore registrierte fast ein Dutzend Autodiscover-Top-Level-Domains, die als Proof-of-Concept-Testumgebungen für die Entführung von Anmeldeinformationen verwendet werden sollen. Die Domänen wurden so konfiguriert, dass sie sich mit einem Server verbinden, der vom Forschungsteam betrieben wird.
Innerhalb von weniger als sechs Monaten erfasste das Team Hunderttausende von Windows-Domänen-Anmeldeinformationen und fast 100.000 Anmeldeinformationen, die aus verschiedenen E-Mail-Anwendungen, einschließlich Microsofts eigenem Outlook, sowie anderer Software, die für die Arbeit mit MS Exchange-Servern konfiguriert werden kann, durchgesickert sind.
Schließlich konnte das Forschungsteam den betroffenen Clients auch eine neue Authentifizierungsmethode aufzwingen, die es den Forschern ermöglicht, Anmeldeinformationen im Klartextformat abzufangen.
Microsoft beschuldigte Guardicore, das Problem öffentlich bekannt gegeben zu haben, bevor es zuerst darüber informiert wurde, aber das Team widerlegte dies mit der Behauptung, dass das Problem nicht neu sei, es sei nur das erste Mal, dass es in einem solchen Umfang und in so großem Umfang ausgenutzt wurde erstellen.