Microsoft більше п’яти років не може виправити баг в exchange autodiscover, що призводить до витоку даних

0
19

За повідомленнями мережевих джерел, microsoft відомо про баг функції autodiscover, яка використовується для автоматичного виявлення поштових серверів, отримання від них налаштувань і надання їм облікових даних, як мінімум з 2016 року. Він може використовуватися для збору облікових даних домену та додатків windows. Хоча microsoft давно знає про проблему, компанія лише радить клієнтам взаємодіяти тільки з довіреними серверами, замість того, щоб усунути сам баг.

Зображення: the register

За даними джерела, керуючий директор британської it-консалтингової компанії supporting role марко ван бик (marco van beek) 10 серпня 2016 року відправив через microsoft security response center відповідний лист, в якому розкрив експлойт autodiscover, що працює з різними поштовими клієнтами, в тому числі microsoft outlook. Примітно, що сам експлойт складався всього з 11 рядків коду і міг використовуватися для експлуатації помилки autodiscover в outlook для windows і macos, стандартних поштових додатках для android і ios та ін.

» по суті, я виявив, що можна легко отримати доступ до паролів користувачів exchange (і, відповідно, active directory) у вигляді звичайного тексту. Для цього не обов’язково порушувати корпоративну безпеку, і в найкращому випадку, це так само безпечно, як доступ на рівні файлів до корпоративного веб-сайту», — вважає марко ван бік.

З тих пір пройшло близько п’яти років, і минулого тижня компанія guardicore, що працює в сфері інформаційної безпеки, виклала свій погляд на проблему, пов’язану з багом функції autodiscover. У компанії підрахували, що дана проблема призвела до витоку даних сотень тисяч користувачів windows-доменів, захист яких не була налаштована належним чином. Оскільки виправляє баг патча не існує, користувачам рекомендується блокувати будь-які домени autodiscover на рівні брандмауера або dns.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here