Outlook -feil fører til lekkasje av nesten 100 000 passord

En sikkerhetsforsker som jobber med Guardicore fant et alvorlig problem med måten autodiscover -funksjonen er implementert på Microsofts Exchange -e -postserverplattform som brukes til å håndtere Outlook -kontoer.

Autodiscover er tjenesten i Exchange som er ansvarlig for enkel konfigurering av klienter og protokoller. Det lar også brukerne gå i full applikasjonskonfigurasjon av noe som Outlook -klienten med bare e -postadressen og passordet sitt, og effektivt overføre innstillinger fra måten kontoen deres er konfigurert på.

Forskningsrapporten kalte sikkerhetsproblemet med autodiscover "alvorlig" og forklarte at det tillater trusselsaktører å fange opp legitimasjon i sitt rentekstformat.

Guardicore forklarte videre alvorlighetsgraden av problemet og beskrev at en mektig trusselaktør, en med evner og ressurser støttet av en stat, kan kjøre en massiv DNS-forgiftningskampanje og periodisk og metodisk samle inn lekende passord.

Forskerteamet i Guardicore registrerte nesten et dusin autodiscover top-level domener som skal brukes som proof-of-concept test-senger for legitimasjonskapring. Domenene ble konfigurert til å koble til en server som drives av forskerteamet.

I løpet av mindre enn seks måneder fanget teamet hundretusenvis av Windows -domeneregistreringer og nesten 100 000 legitimasjoner som lekker fra forskjellige e -postprogrammer, inkludert Microsofts egen Outlook, samt annen programvare som kan konfigureres til å fungere med MS Exchange -servere.

Til slutt kunne forskerteamet også tvinge en ny autentiseringsmetode til de berørte klientene, slik at forskerne kunne fange opp legitimasjon i vanlig tekstformat.

Microsoft anklaget Guardicore for å ha avslørt problemet offentlig før de informerte dem om det først, men teamet motbeviste dette med påstanden om at problemet ikke var nytt, det var bare første gang det ble utnyttet i så stor grad og i så stor skala oppsett.