Fejl i Microsofts autodiscover synliggør titusindvis af brugeres adgangskoder

Illustration: Guardicore
En bug i Microsoft Exchange/Outlook's autodiscover gør det muligt at opfange legitimationsoplysninger fra brugere, der har netværksproblemer.

En bug i Microsoft Exchange/Outlook's autodiscover har gjort knap 100.000 email-brugernavne og adgangskoder tilgængelige i klar tekst.

Det skriver ArsTechnica, efter at security researcher i it-sikkerheds-virksomheden Guardicore, Amit Serper, har opdaget fejlene i autodiscover. Autodiscover-protokollen gør det muligt automatisk at konfigurere en email-konto med kun den nødvendige adresse og adgangskode.

Fejlen gør det muligt for personer, der køber domæner indeholdende ordet »autodiscover« – f.eks. autodiscover.com eller autodiscover.co.uk – at opfange legitimationsoplysninger i klar tekst fra brugere, der har netværksproblemer (eller hvis administratorer har konfigureret DNS forkert).

Der er flere tekniske detaljer på Guardicores blog og/eller Microsofts Autodiscover-dokumentation.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Sune Marcher

Jeg prøvede virkeligt at finde ét eller andet formildende, men... det er jo snotdumt. Upwards traversal skulle naturligvis ikke være kravlet helt op til TLD'et, og det virker farligt i det hele taget at kravle opad.

Og plaintext er supported? Ugh.

Det eneste en smule formildende er at passwords trods alt ikke ligger og flyder frit tilgængeligt rundt, hvilket "Fejl i Microsofts autodiscover synliggør titusindvis af brugeres adgangskoder" ellers kunne antyde – det kræver trods alt at du registrerer et domæne eller kan sniffe trafik (og muligvis påvirke, for at lave TLS->HTTP downgrade?), men... det er sgu slemt nok.

  • 9
  • 0
#3 Mogens Lysemose

passwords trods alt ikke ligger og flyder frit tilgængeligt rundt,

Da jeg arbejdede med webhoteller i 2003-2006 var der sat automatisk awstats op til kunderne, som bare skulle skrive [domænenavn]/awstats, så kunne de se alle urls der blev besøgt og hvor meget osv.

Der var ingen adgangsbeskyttelse.

I den slags tilfælde vil alle url-requests til webserveren jo så faktisk ligge på nettet i klar-tekst, og hvis så google kommer forbi den... ;)

  • 0
  • 0
Log ind eller Opret konto for at kommentere