Błąd programu Outlook prowadzi do wycieku prawie 100 000 haseł
Badacz bezpieczeństwa współpracujący z Guardicore znalazł poważny problem w sposobie implementacji funkcji automatycznego wykrywania w platformie serwera poczty Microsoft Exchange używanej do obsługi kont programu Outlook.
Autodiscover to usługa w Exchange odpowiedzialna za łatwą konfigurację klientów i protokołów. Pozwala także użytkownikom przejść pełną konfigurację aplikacji, np. klienta Outlook, za pomocą tylko adresu e-mail i hasła, skutecznie migrując ustawienia ze sposobu konfiguracji konta.
Raport badawczy nazwał problem bezpieczeństwa z automatycznym wykrywaniem „poważnym” i wyjaśnił, że umożliwia on cyberprzestępcom przechwytywanie danych uwierzytelniających w formacie zwykłego tekstu.
Guardicore wyjaśnił dalej powagę problemu, wyszczególniając, że potężny podmiot zajmujący się zagrożeniami, dysponujący możliwościami i zasobami wspieranymi przez stan, może prowadzić masową kampanię zatruwania DNS oraz okresowo i metodycznie zbierać hasła, które przeciekają.
Zespół badawczy w Guardicore zarejestrował prawie tuzin domen najwyższego poziomu automatycznego wykrywania, które mają być wykorzystywane jako stanowiska do testowania słuszności koncepcji w celu przejęcia danych uwierzytelniających. Domeny zostały skonfigurowane do łączenia się z serwerem obsługiwanym przez zespół badawczy.
W ciągu niespełna sześciu miesięcy zespół przechwycił setki tysięcy poświadczeń domeny Windows i prawie 100 000 poświadczeń wyciekających z różnych aplikacji pocztowych, w tym z własnego Outlooka Microsoftu, a także z innego oprogramowania, które można skonfigurować do pracy z serwerami MS Exchange.
Wreszcie zespół badawczy był w stanie wymusić nową metodę uwierzytelniania na dotkniętych klientach, umożliwiając naukowcom przechwycenie danych uwierzytelniających w formacie zwykłego tekstu.
Microsoft oskarżył Guardicore o publiczne ujawnienie problemu przed poinformowaniem ich o tym jako pierwszy, ale zespół obalił to twierdząc, że problem nie jest nowy, był to pierwszy raz, kiedy został wykorzystany w takim stopniu i na tak dużą skalę Ustawiać.