Outlookのバグにより、ほぼ100,000個のパスワードが漏洩する
Guardicoreを使用しているセキュリティ研究者は、Outlookアカウントの処理に使用されるMicrosoftのExchange電子メールサーバープラットフォームでの自動検出機能の実装方法に深刻な問題があることを発見しました。
自動検出は、クライアントとプロトコルの簡単な構成を担当するExchangeのサービスです。また、ユーザーは、電子メールアドレスとパスワードだけでOutlookクライアントなどの完全なアプリケーション構成を実行できるため、アカウントの設定方法から設定を効果的に移行できます。
調査レポートでは、自動検出のセキュリティ問題を「重大」と呼び、脅威の攻撃者がプレーンテキスト形式の資格情報を傍受できると説明しています。
Guardicoreはさらに、問題の重大性を説明し、国家によってバックアップされた機能とリソースを備えた強力な脅威アクターが大規模なDNSポイズニングキャンペーンを実行し、漏洩したパスワードを定期的かつ系統的に収集できることを詳しく説明しました。
Guardicoreの研究チームは、クレデンシャルハイジャックの概念実証テストベッドとして使用される、約12の自動検出トップレベルドメインを登録しました。ドメインは、研究チームが運営するサーバーに接続するように構成されました。
チームは6か月足らずで、Microsoft独自のOutlookや、MS Exchangeサーバーと連携するように構成できるその他のソフトウェアなど、さまざまな電子メールアプリケーションからリークする数十万のWindowsドメイン資格情報と約100,000の資格情報を取得しました。
最後に、研究チームは影響を受けるクライアントに新しい認証方法を強制することもでき、研究者はプレーンテキスト形式のクレデンシャルを傍受できるようになりました。
マイクロソフトは、Guardicoreが最初に問題を通知する前に問題を公開したと非難しましたが、チームはこの問題は新しいものではなく、このような範囲で大規模に悪用されたのは初めてであると主張して反論しました。設定。