Il bug di Outlook porta alla perdita di quasi 100.000 password
Un ricercatore di sicurezza che lavora con Guardicore ha riscontrato un serio problema con il modo in cui la funzione di individuazione automatica è implementata nella piattaforma del server di posta elettronica Exchange di Microsoft utilizzata per la gestione degli account Outlook.
L'individuazione automatica è il servizio di Exchange responsabile della facile configurazione di client e protocolli. Consente inoltre agli utenti di eseguire la configurazione completa dell'applicazione di qualcosa come il client Outlook con solo il loro indirizzo e-mail e la password, migrando efficacemente le impostazioni dal modo in cui è impostato il loro account.
Il rapporto di ricerca ha definito "grave" il problema di sicurezza con l'individuazione automatica e ha spiegato che consente agli attori delle minacce di intercettare le credenziali nel loro formato di testo normale.
Guardicore ha inoltre spiegato la gravità del problema, specificando che un potente attore di minacce, dotato di capacità e risorse supportate da uno stato, può eseguire una massiccia campagna di avvelenamento del DNS e raccogliere periodicamente e metodicamente le password che perdono.
Il team di ricerca di Guardicore ha registrato quasi una dozzina di domini di primo livello di individuazione automatica da utilizzare come banchi di prova proof-of-concept per il dirottamento delle credenziali. I domini sono stati configurati per connettersi a un server gestito dal team di ricerca.
Nell'arco di meno di sei mesi, il team ha acquisito centinaia di migliaia di credenziali di dominio Windows e quasi 100.000 credenziali trapelate da varie applicazioni di posta elettronica, tra cui Outlook di Microsoft, nonché altri software che possono essere configurati per funzionare con i server MS Exchange.
Infine, il team di ricerca è stato in grado di forzare anche un nuovo metodo di autenticazione sui client interessati, consentendo ai ricercatori di intercettare le credenziali in formato di testo normale.
Microsoft ha accusato Guardicore di aver divulgato il problema pubblicamente prima di informarli prima, ma il team ha confutato affermando che il problema non era nuovo, era solo la prima volta che veniva sfruttato in tale misura e su larga scala impostare.