Microsoft более пяти лет не может исправить баг в Exchange Autodiscover, приводящий к утечке данных

По сообщениям сетевых источников, Microsoft известно о баге функции Autodiscover, которая используется для автоматического обнаружения почтовых серверов, получения от них настроек и предоставления им учётных данных, как минимум с 2016 года. Он может использоваться для сбора учётных данных домена и приложений Windows. Хотя Microsoft давно знает о проблеме, компания лишь советует клиентам взаимодействовать только с доверенными серверами, вместо того, чтобы устранить сам баг.


Microsoft более пяти лет не может исправить баг в Exchange Autodiscover, приводящий к утечке данных

По данным источника, управляющий директор британской IT-консалтинговой компании Supporting Role Марко ван Бик (Marco van Beek) 10 августа 2016 года отправил через Microsoft Security Response Center соответствующее письмо, в котором раскрыл эксплойт Autodiscover, работающий с разными почтовыми клиентами, в том числе Microsoft Outlook. Примечательно, что сам эксплойт состоял всего из 11 строк кода и мог использоваться для эксплуатации ошибки Autodiscover в Outlook для Windows и macOS, стандартных почтовых приложениях для Android и iOS и др.

«По сути, я обнаружил, что можно легко получить доступ к паролям пользователей Exchange (и, соответственно, Active Directory) в виде обычного текста. Для этого не обязательно нарушать корпоративную безопасность, и в самом лучшем случае, это так же безопасно, как доступ на уровне файлов к корпоративному веб-сайту», — считает Марко ван Бик.

С тех пор прошло около пяти лет, и на прошлой неделе компания Guardicore, работающая в сфере информационной безопасности, изложила свой взгляд на проблему, связанную с багом функции Autodiscover. В компании подсчитали, что данная проблема привела к утечке данных сотен тысяч пользователей Windows-доменов, защита которых не была настроена должным образом. Поскольку исправляющего баг патча не существует, пользователям рекомендуется блокировать любые домены Autodiscover на уровне брандмауэра или DNS.

Источник

Метки записи:   ,