Un bogue d'Outlook entraîne une fuite de près de 100 000 mots de passe

Un chercheur en sécurité travaillant avec Guardicore a découvert un grave problème dans la façon dont la fonction de découverte automatique est implémentée dans la plate-forme de serveur de messagerie Exchange de Microsoft utilisée pour gérer les comptes Outlook.

La découverte automatique est le service d'Exchange qui est responsable de la configuration facile des clients et des protocoles. Il permet également aux utilisateurs d'effectuer une configuration complète de l'application de quelque chose comme le client Outlook avec uniquement leur adresse e-mail et leur mot de passe, en migrant efficacement les paramètres de la façon dont leur compte est configuré.

Le rapport de recherche a qualifié le problème de sécurité de la découverte automatique de "grave" et a expliqué qu'il permet aux acteurs malveillants d'intercepter les informations d'identification dans leur format de texte brut.

Guardicore a expliqué en outre la gravité du problème, précisant qu'un puissant acteur de la menace, doté de capacités et de ressources soutenues par un État, peut mener une campagne massive d'empoisonnement du DNS et collecter périodiquement et méthodiquement les mots de passe qui fuient.

L'équipe de recherche de Guardicore a enregistré près d'une douzaine de domaines de premier niveau à découverte automatique à utiliser comme bancs de test de validation de principe pour le détournement d'informations d'identification. Les domaines ont été configurés pour se connecter à un serveur exploité par l'équipe de recherche.

En moins de six mois, l'équipe a capturé des centaines de milliers d'informations d'identification de domaine Windows et près de 100 000 informations d'identification provenant de diverses applications de messagerie, y compris Outlook de Microsoft, ainsi que d'autres logiciels pouvant être configurés pour fonctionner avec les serveurs MS Exchange.

Enfin, l'équipe de recherche a également pu imposer une nouvelle méthode d'authentification aux clients concernés, permettant aux chercheurs d'intercepter les informations d'identification au format texte brut.

Microsoft a accusé Guardicore d'avoir divulgué le problème publiquement avant de les informer au préalable, mais l'équipe a réfuté cela en affirmant que le problème n'était pas nouveau, c'était juste la première fois qu'il était exploité à une telle échelle et à une si grande échelle. mettre en place.

September 27, 2021
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.