Selon des sources en ligne, Microsoft est au courant d'un bogue dans la fonction de découverte automatique, qui est utilisée pour détecter automatiquement les serveurs de messagerie, recevoir leurs paramètres et leur fournir des informations d'identification, au moins depuis 2016. Il peut être utilisé pour collecter les informations d'identification de domaine et d'application Windows. Bien que Microsoft soit conscient du problème depuis longtemps, la société conseille uniquement aux clients d'interagir uniquement avec des serveurs de confiance, plutôt que de corriger le bogue lui-même.
Selon la source, le directeur général de la société britannique de conseil en informatique Supporting Role, Marco van Beek, a envoyé une lettre via Microsoft Security Response Center le 10 août 2016, dans laquelle il a révélé l'exploit Autodiscover qui fonctionne avec divers clients de messagerie, notamment Microsoft Outlook. Il est à noter que l'exploit lui-même ne comprenait que 11 lignes de code et pouvait être utilisé pour exploiter l'erreur de découverte automatique dans Outlook pour Windows et macOS, les applications de messagerie standard pour Android et iOS, etc.
« En gros, j'ai trouvé que vous pouvez facilement accéder aux mots de passe des utilisateurs Exchange (et donc Active Directory) en texte brut. Il ne doit pas compromettre la sécurité de l'entreprise et, au mieux, il est aussi sécurisé que l'accès au niveau des fichiers à un site Web d'entreprise », explique Marco van Beek.
Environ cinq ans plus tard, la société de sécurité Guardicore a exposé la semaine dernière son point de vue sur le bogue Autodiscover. La société estime que ce problème a entraîné la fuite de données de centaines de milliers d'utilisateurs de domaines Windows, dont la protection n'était pas correctement configurée. Puisqu'il n'y a pas de correctif pour le bogue, il est conseillé aux utilisateurs de bloquer tous les domaines de découverte automatique au niveau du pare-feu ou du DNS.
2021-09-29 16:51:54
Auteur: Vitalii Babkin