Microsoft на протяжении 5 лет знала о проблеме в Autodiscover » mogilew.by
 

Microsoft на протяжении 5 лет знала о проблеме в Autodiscover

Microsoft Outlook Autodiscover учетные данные
?Как полагает техногигант, проблема в протоколе не является уязвимостью.
Microsoft на протяжении 5 лет знала о проблеме в Autodiscover

Почтовый клиент Microsoft Outlook, по крайней мере, с 2016 года раскрывает незащищенные учетные данные пользователей, если запросить сведения определенным образом. Microsoft знает об проблеме, но по-прежнему советует клиентам взаимодействовать только с серверами, которым они доверяют.
10 августа 2016 года директор британской IT-компании Supporting Role Марко ван Бик (Marco van Beek) отправил в Microsoft Security Response Center сообщение о проблеме функции Microsoft Autodiscover почтовых серверов Microsoft Exchange, позволяющей почтовым клиентам автоматически обнаруживать почтовые серверы, предоставлять учетные данные, а затем получать надлежащие конфигурации.
«Получить доступ к паролям пользователей Exchange и, следовательно, Active Directory, в виде открытого текста чрезвычайно просто. Это не обязательно требует какого-либо нарушения корпоративной безопасности, и это так же безопасно, как доступ на уровне файлов к корпоративному web-сайту», — сообщил Бик.
PoC-код для эксплуатации уязвимости состоял из 11 строк на языке PHP, хотя его предположительно можно было сократить до трех строк. Исследователи приложил пояснительный PDF-файл и описал поведение протокола Microsoft Autodiscover, когда программное обеспечение почтового клиента пытается добавить новую учетную запись Exchange.
11 августа 2016 года Microsoft подтвердила воспроизведение проблемы в отчете Бика. Однако 30 августа 2016 года компания сообщила, что в отчете не описывается настоящая уязвимость
«Наши инженеры в области безопасности изучили отчет и определили, что это не уязвимость, которую нужно обслуживать в рамках нашей ежемесячной процедуры «вторник исправлений». SSL-сертификат без соответствующего имени хоста никогда не рекомендуется принимать. Прежде чем отправить запрос, убедитесь, что он заслуживает доверия. Помните, вы отправляете учетные данные пользователя, поэтому важно убедиться, что вы делитесь ими только с сервером, которому можно доверять», — ответили в Microsoft.
Спустя пять лет исследователи в области кибербезопасности из компании Guardicore обнаружили ту же ошибку в почтовом сервере Microsoft Exchange. Проблема привела к утечке учетных данных домена и приложений Windows по всему миру.
По словам экспертов, механизм автоматического обнаружения почтовых серверов использует процедуру «отката» на случай, если он не обнаружит конечную точку Autodiscover сервера Microsoft Exchange с первой попытки. Этот механизм «отката» и является виновником утечки данных, поскольку он всегда пытается разрешить часть домена Autodiscover и всегда будет пытаться «выйти из строя». Результатом следующей попытки создания URL-адреса Autodiscover будет: autodiscover.com/autodiscover/autodiscover[.]xml. Это означает, что владелец autodiscover[.]com получит все запросы, которые не могут достичь исходного домена.
Как отметил Бик, он и эксперты из Guardicore по отдельности обнаружили ту же проблему с раскрытыми учетными данными.
«Основное отличие состоит в том, что они нашли способ убрать их из основного почтового домена, в то время как я остановился, когда понял, что большинство почтовых клиентов даже не проверяли SSL-сертификат перед передачей подарков», — пояснил он.

SECURITYLAB.RU
рейтинг: 
  • Не нравится
  • +4
  • Нравится
ПОДЕЛИТЬСЯ:

ОСТАВИТЬ КОММЕНТАРИЙ
иконка
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Новости
Опорный пункт ВСУ на Харьковском направлении снесло "Ураганом" (видео)
Минобороны РФ показало новые кадры боевой работы РЗСО "Ураган" в зоне проведения спецоперации на Харьковском ...

Режим ЧС введен в Севастополе после ракетной атаки
Накануне Украина нанесла по Севастополю удар, одна из ракет взорвалась в воздухе, что привело к жертвам среди мирного ...

ЕАБР назвал основной источник роста ВВП в Беларуси
Аналитики межгосударственного финансового института посчитали, какие вклады в рост белорусской экономики внесли разные ...

Три человека погибли на пожаре в Узденском районе
По предварительной информации, смертельный пожар мог произойти из-за непотушенной сигареты.

Путин поблагодарил лидеров КНДР и Вьетнама за гостеприимство
Российский президент на прошлой неделе посетил с государственными визитами КНДР и Вьетнам.

Азаренко поднялась на три строчки в рейтинге WTA, Соболенко до сих пор третья
Среди белорусских теннисисток только Азаренко, Шиманович и Фалей сумели улучшить свои позиции в мировом рейтинге.

Силы спецопераций задействованы в проверке боеготовности Вооруженных сил
Бойцы ССО в ходе выполнения поставленных задач используют в том числе бронетехнику и беспилотники.

Футболисты сборной Шотландии проиграли венграм и покидают Евро-2024
Встреча могла закончиться с нулевым счетом, однако венгерский футболист поразил ворота соперников на 10-й ...

Сборная Германии вышла в плей-офф Евро с первого места в группе
Сыграв с командой Швейцарии со счетом 1:1, немецкая сборная все равно осталась на первой позиции в турнирной таблице ...

Марков: госСМИ освободились от людей с "идеологической растерянностью"
Будет честно, если человек с мнением, альтернативным государственному, не будет "кормиться из государственного ...

Лукашенко пригласил магистра Мальтийского ордена в Беларусь
По словам президента, Мальтийский орден всегда найдет в Беларуси поддержку конструктивных и созидательных инициатив.

Осторожно, грозы: МЧС и Белгидромет предупреждают о непогоде в понедельник
Грозы могут стать причиной возникновения природных пожаров и возгораний в жилых и производственных зданиях.

Шесть боевиков ликвидированы после теракта в Дагестане
Вечером в воскресенье в Дербенте и Махачкале неизвестные люди совершили вооруженные нападения на два православных ...

В конгрессе США осудили обстрел Севастополя
Представитель Республиканской партии предложила представить, что было бы, если Россия обстреляла пляж во Флориде ...