Outlook Bug leder till läckage av nästan 100 000 lösenord
En säkerhetsforskare som arbetar med Guardicore fann ett allvarligt problem med hur autodiscover -funktionen implementeras i Microsofts Exchange -e -postserverplattform som används för att hantera Outlook -konton.
Autodiscover är tjänsten i Exchange som ansvarar för den enkla konfigurationen av klienter och protokoll. Det gör det också möjligt för användare att gå i fullständig applikationskonfiguration av något som Outlook -klienten med bara sin e -postadress och lösenord, vilket effektivt migrerar inställningar från hur deras konto är konfigurerat.
Forskningsrapporten kallade säkerhetsfrågan med autodiscover "allvarlig" och förklarade att den tillåter hotaktörer att fånga upp meriter i sitt klartextformat.
Guardicore förklarade vidare problemets svårighetsgrad och beskriver att en kraftfull hotaktör, en med kapacitet och resurser som stöds av en stat, kan köra en massiv DNS-förgiftningskampanj och periodiskt och metodiskt samla in läckande lösenord.
Forskargruppen på Guardicore registrerade nästan ett dussin autodiscover top-level-domäner som ska användas som proof-of-concept-testbäddar för kapning av referenser. Domänerna konfigurerades för att ansluta till en server som drivs av forskargruppen.
Inom loppet av mindre än sex månader tog teamet hundratusentals Windows -domänuppgifter och nästan 100 000 referenser som läcker från olika e -postprogram, inklusive Microsofts egna Outlook, samt annan programvara som kan konfigureras för att fungera med MS Exchange -servrar.
Slutligen kunde forskargruppen också tvinga fram en ny autentiseringsmetod på de drabbade klienterna, så att forskarna kunde fånga upp meriter i klartextformat.
Microsoft anklagade Guardicore för att avslöja problemet offentligt innan de först informerade dem om det, men laget motbevisade detta med påståendet att frågan inte var ny, det var bara första gången det utnyttjades i en sådan omfattning och i så stor skala uppstart.