Outlook -feil fører til lekkasje av nesten 100 000 passord
En sikkerhetsforsker som jobber med Guardicore fant et alvorlig problem med måten autodiscover -funksjonen er implementert på Microsofts Exchange -e -postserverplattform som brukes til å håndtere Outlook -kontoer.
Autodiscover er tjenesten i Exchange som er ansvarlig for enkel konfigurering av klienter og protokoller. Det lar også brukerne gå i full applikasjonskonfigurasjon av noe som Outlook -klienten med bare e -postadressen og passordet sitt, og effektivt overføre innstillinger fra måten kontoen deres er konfigurert på.
Forskningsrapporten kalte sikkerhetsproblemet med autodiscover "alvorlig" og forklarte at det tillater trusselsaktører å fange opp legitimasjon i sitt rentekstformat.
Guardicore forklarte videre alvorlighetsgraden av problemet og beskrev at en mektig trusselaktør, en med evner og ressurser støttet av en stat, kan kjøre en massiv DNS-forgiftningskampanje og periodisk og metodisk samle inn lekende passord.
Forskerteamet i Guardicore registrerte nesten et dusin autodiscover top-level domener som skal brukes som proof-of-concept test-senger for legitimasjonskapring. Domenene ble konfigurert til å koble til en server som drives av forskerteamet.
I løpet av mindre enn seks måneder fanget teamet hundretusenvis av Windows -domeneregistreringer og nesten 100 000 legitimasjoner som lekker fra forskjellige e -postprogrammer, inkludert Microsofts egen Outlook, samt annen programvare som kan konfigureres til å fungere med MS Exchange -servere.
Til slutt kunne forskerteamet også tvinge en ny autentiseringsmetode til de berørte klientene, slik at forskerne kunne fange opp legitimasjon i vanlig tekstformat.
Microsoft anklaget Guardicore for å ha avslørt problemet offentlig før de informerte dem om det først, men teamet motbeviste dette med påstanden om at problemet ikke var nytt, det var bare første gang det ble utnyttet i så stor grad og i så stor skala oppsett.