Το σφάλμα του Outlook οδηγεί σε διαρροή σχεδόν 100.000 κωδικών πρόσβασης

Ένας ερευνητής ασφαλείας που συνεργάζεται με τον Guardicore βρήκε ένα σοβαρό πρόβλημα με τον τρόπο με τον οποίο εφαρμόζεται η λειτουργία αυτόματης ανακάλυψης στην πλατφόρμα διακομιστή ηλεκτρονικού ταχυδρομείου Exchange της Microsoft που χρησιμοποιείται για το χειρισμό λογαριασμών Outlook.

Το Autodiscover είναι η υπηρεσία στο Exchange που είναι υπεύθυνη για την εύκολη διαμόρφωση πελατών και πρωτοκόλλων. Επιτρέπει επίσης στους χρήστες να πραγματοποιήσουν πλήρη διαμόρφωση εφαρμογής για κάτι σαν το πρόγραμμα -πελάτη Outlook με τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τον κωδικό πρόσβασής τους, μεταφέροντας αποτελεσματικά τις ρυθμίσεις από τον τρόπο που έχει δημιουργηθεί ο λογαριασμός τους.

Η ερευνητική έκθεση χαρακτήρισε το ζήτημα ασφάλειας με αυτόματη ανακάλυψη "σοβαρό" και εξήγησε ότι επιτρέπει στους φορείς απειλής να υποκλέψουν διαπιστευτήρια στη μορφή απλού κειμένου.

Ο Guardicore εξήγησε περαιτέρω τη σοβαρότητα του ζητήματος, αναφέροντας λεπτομερώς ότι ένας ισχυρός παράγοντας απειλής, ένας με δυνατότητες και πόρους που υποστηρίζονται από ένα κράτος, μπορεί να τρέξει μια τεράστια εκστρατεία δηλητηρίασης DNS και να συλλέγει περιοδικά και μεθοδικά κωδικούς πρόσβασης που διαρρέουν.

Η ερευνητική ομάδα στο Guardicore κατέγραψε περίπου δώδεκα τομείς ανωτάτου επιπέδου για αυτόματη ανακάλυψη για να χρησιμοποιηθούν ως κρεβάτια δοκιμών απόδειξης για την παραβίαση διαπιστευτηρίων. Οι τομείς διαμορφώθηκαν ώστε να συνδέονται με διακομιστή που λειτουργεί από την ερευνητική ομάδα.

Μέσα σε λιγότερο από έξι μήνες, η ομάδα κατέλαβε εκατοντάδες χιλιάδες διαπιστευτήρια τομέα Windows και σχεδόν 100.000 διαπιστευτήρια που διαρρέουν από διάφορες εφαρμογές ηλεκτρονικού ταχυδρομείου, συμπεριλαμβανομένου του Outlook της Microsoft, καθώς και άλλων λογισμικών που μπορούν να διαμορφωθούν για να λειτουργούν με διακομιστές MS Exchange.

Τέλος, η ερευνητική ομάδα μπόρεσε επίσης να επιβάλει μια νέα μέθοδο ελέγχου ταυτότητας στους επηρεαζόμενους πελάτες, επιτρέποντας στους ερευνητές να υποκλέψουν διαπιστευτήρια σε μορφή απλού κειμένου.

Η Microsoft κατηγόρησε τον Guardicore ότι αποκάλυψε το ζήτημα δημόσια πριν τους ενημερώσει σχετικά, αλλά η ομάδα το διέψευσε με τον ισχυρισμό ότι το ζήτημα δεν ήταν νέο, ήταν μόνο η πρώτη φορά που εκμεταλλεύτηκε σε τέτοιο βαθμό και σε τόσο μεγάλη κλίμακα ρύθμιση