Outlook-bug leidt tot lekken van bijna 100.000 wachtwoorden
Een beveiligingsonderzoeker die met Guardicore werkte, ontdekte een ernstig probleem met de manier waarop de autodiscover-functie is geïmplementeerd in het Exchange-e-mailserverplatform van Microsoft dat wordt gebruikt voor het afhandelen van Outlook-accounts.
Autodiscover is de service in Exchange die verantwoordelijk is voor het eenvoudig configureren van clients en protocollen. Het stelt gebruikers ook in staat om de volledige applicatieconfiguratie van zoiets als de Outlook-client te gebruiken met alleen hun e-mailadres en wachtwoord, waardoor instellingen effectief worden gemigreerd van de manier waarop hun account is ingesteld.
Het onderzoeksrapport noemde het beveiligingsprobleem met autodiscover "ernstig" en legde uit dat het bedreigingsactoren in staat stelt om inloggegevens in hun platte tekstformaat te onderscheppen.
Guardicore legde verder de ernst van het probleem uit en gaf aan dat een krachtige dreigingsactor, een met capaciteiten en middelen ondersteund door een staat, een massale DNS-vergiftigingscampagne kan voeren en periodiek en methodisch lekkende wachtwoorden kan verzamelen.
Het onderzoeksteam van Guardicore heeft bijna een dozijn autodiscover-topniveaudomeinen geregistreerd om te worden gebruikt als proof-of-concept-testbedden voor het kapen van inloggegevens. De domeinen zijn geconfigureerd om verbinding te maken met een server die wordt beheerd door het onderzoeksteam.
Binnen een tijdsbestek van minder dan zes maanden heeft het team honderdduizenden Windows-domeinreferenties en bijna 100.000 inloggegevens gevonden die lekten uit verschillende e-mailtoepassingen, waaronder Microsoft's eigen Outlook, evenals andere software die kan worden geconfigureerd om te werken met MS Exchange-servers.
Ten slotte was het onderzoeksteam in staat om ook een nieuwe authenticatiemethode op de getroffen klanten af te dwingen, waardoor de onderzoekers inloggegevens in platte tekst konden onderscheppen.
Microsoft beschuldigde Guardicore ervan het probleem publiekelijk bekend te maken voordat het hen er eerst over informeerde, maar het team weerlegde dit met de bewering dat het probleem niet nieuw was, het was slechts de eerste keer dat het in zo'n mate en op zo'n grote schaal werd uitgebuit opstelling.