Security Week 39: утечка паролей через Exchange Autodiscover
На прошлой неделе, 22 августа, Амит Серпер (Amit Serper) из компании Guardicore опубликовал исследование уязвимости в протоколе Microsoft Exchange Autodiscover, которая может привести к утечке логинов и паролей при настройке учетной записи в Microsoft Outlook. Если достучаться до правильного сервера не удалось (например, из-за недоступности или ошибки при вводе e-mail пользователем), простейшая ошибка может вызывать перенаправление запроса на домен типа autodiscover.es.
Outlook по умолчанию предлагает воспользоваться автоматической настройкой параметров почтового сервера после ввода имени пользователя, почтового адреса и пароля. Для этого производится запрос по четырем стандартным URL типа autodiscover.example.com/autodiscover/autodiscover.xml, если почтовый адрес находится на домене example.com. При отсутствии ответа по такому URL происходит то, что исследователь назвал 'fail up', то есть URL сокращается, пока не превращается, в данном случае, в autodiscover.com. Исследователь нашел и зарегистрировал на себя 11 подобных доменных имен в разных TLD, и за полгода собрал почти сто тысяч уникальных пар e-mail + пароль.
Читать дальше →
Outlook по умолчанию предлагает воспользоваться автоматической настройкой параметров почтового сервера после ввода имени пользователя, почтового адреса и пароля. Для этого производится запрос по четырем стандартным URL типа autodiscover.example.com/autodiscover/autodiscover.xml, если почтовый адрес находится на домене example.com. При отсутствии ответа по такому URL происходит то, что исследователь назвал 'fail up', то есть URL сокращается, пока не превращается, в данном случае, в autodiscover.com. Исследователь нашел и зарегистрировал на себя 11 подобных доменных имен в разных TLD, и за полгода собрал почти сто тысяч уникальных пар e-mail + пароль.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- 4 проверенных тактики email-маркетинга, которые помогут FMCG-брендам стимулировать продажи
- Платный трафик I Дмитрий Хатин: Сколько токенов (erid) для одного креатива требуется получать в ОРД при маркировке рекламы?
- Погружаемся в PEB. Подмена аргументов командной строки в запущенных и suspended процессах
- Сигнал «двойной» иерархии
- [Перевод] Secure Scripting: Пошаговое руководство по автоматизации генерации паролей в Linux с помощью Bash
- Raketa: Деловых поездок в 2024 году стало на 20% больше
- Spark_news: Яндекс выпустил свои первые устройства умного дома с Matter
- Веб-студия Komarovaeee: Как мы применили нейросеть Stable Diffusion в создании контента для интернет-магазина на Тильде
- В самое сердце: опубликован шорт-лист Rassvet.award 2024
- USB через IP: тест российского сетевого USB-концентратора