Fejl i Microsofts autodiscover synliggør titusindvis af brugeres adgangskoder

24. september 2021 kl. 10:003
Fejl i Microsofts autodiscover synliggør titusindvis af brugeres adgangskoder
Illustration: Guardicore.
En bug i Microsoft Exchange/Outlook's autodiscover gør det muligt at opfange legitimationsoplysninger fra brugere, der har netværksproblemer.
person
Lasse Skovgaard
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Lasse Skovgaard

En bug i Microsoft Exchange/Outlook's autodiscover har gjort knap 100.000 email-brugernavne og adgangskoder tilgængelige i klar tekst.

Det skriver ArsTechnica, efter at security researcher i it-sikkerheds-virksomheden Guardicore, Amit Serper, har opdaget fejlene i autodiscover. Autodiscover-protokollen gør det muligt automatisk at konfigurere en email-konto med kun den nødvendige adresse og adgangskode.

Artiklen fortsætter efter annoncen

Fejlen gør det muligt for personer, der køber domæner indeholdende ordet »autodiscover« – f.eks. autodiscover.com eller autodiscover.co.uk – at opfange legitimationsoplysninger i klar tekst fra brugere, der har netværksproblemer (eller hvis administratorer har konfigureret DNS forkert).

Der er flere tekniske detaljer på Guardicores blog og/eller Microsofts Autodiscover-dokumentation.

Fokus
Emner
3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
Mogens Lysemose
24. september 2021 kl. 14:35

passwords trods alt ikke ligger og flyder frit tilgængeligt rundt,

Da jeg arbejdede med webhoteller i 2003-2006 var der sat automatisk awstats op til kunderne, som bare skulle skrive [domænenavn]/awstats, så kunne de se alle urls der blev besøgt og hvor meget osv.

Der var ingen adgangsbeskyttelse.

I den slags tilfælde vil alle url-requests til webserveren jo så faktisk ligge på nettet i klar-tekst, og hvis så google kommer forbi den... ;)

  • more_vert
    • insert_linkKopier link
2
Sune Marcher
24. september 2021 kl. 11:07

Jeg prøvede virkeligt at finde ét eller andet formildende, men... det er jo snotdumt. Upwards traversal skulle naturligvis ikke være kravlet helt op til TLD'et, og det virker farligt i det hele taget at kravle opad.

Og plaintext er supported? Ugh.

Det eneste en smule formildende er at passwords trods alt ikke ligger og flyder frit tilgængeligt rundt, hvilket "Fejl i Microsofts autodiscover synliggør titusindvis af brugeres adgangskoder" ellers kunne antyde – det kræver trods alt at du registrerer et domæne eller kan sniffe trafik (og muligvis påvirke, for at lave TLS->HTTP downgrade?), men... det er sgu slemt nok.

  • more_vert
    • insert_linkKopier link
1
Maciej Szeliga
24. september 2021 kl. 10:17

...autodiscover er sikker så sender vi i klartekst.

Hvis jeg så laver WiFi med egen DNS server så kan jeg snuppe alle credentials fra de Outlook brugere som kommer forbi??

Det er naturligvis helt utænkt at lave et WiFi med egen DNS server....

  • more_vert
    • insert_linkKopier link