Security Week 39: утечка паролей через Exchange Autodiscover
На прошлой неделе, 22 августа, Амит Серпер (Amit Serper) из компании Guardicore опубликовал исследование уязвимости в протоколе Microsoft Exchange Autodiscover, которая может привести к утечке логинов и паролей при настройке учетной записи в Microsoft Outlook. Если достучаться до правильного сервера не удалось (например, из-за недоступности или ошибки при вводе e-mail пользователем), простейшая ошибка может вызывать перенаправление запроса на домен типа autodiscover.es.
Outlook по умолчанию предлагает воспользоваться автоматической настройкой параметров почтового сервера после ввода имени пользователя, почтового адреса и пароля. Для этого производится запрос по четырем стандартным URL типа autodiscover.example.com/autodiscover/autodiscover.xml, если почтовый адрес находится на домене example.com. При отсутствии ответа по такому URL происходит то, что исследователь назвал 'fail up', то есть URL сокращается, пока не превращается, в данном случае, в autodiscover.com. Исследователь нашел и зарегистрировал на себя 11 подобных доменных имен в разных TLD, и за полгода собрал почти сто тысяч уникальных пар e-mail + пароль.
Читать дальше →
Outlook по умолчанию предлагает воспользоваться автоматической настройкой параметров почтового сервера после ввода имени пользователя, почтового адреса и пароля. Для этого производится запрос по четырем стандартным URL типа autodiscover.example.com/autodiscover/autodiscover.xml, если почтовый адрес находится на домене example.com. При отсутствии ответа по такому URL происходит то, что исследователь назвал 'fail up', то есть URL сокращается, пока не превращается, в данном случае, в autodiscover.com. Исследователь нашел и зарегистрировал на себя 11 подобных доменных имен в разных TLD, и за полгода собрал почти сто тысяч уникальных пар e-mail + пароль.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- 74% российских компаний рассматривают привлечение трафика через нейросети
- Опубликованы списки финалистов Workspace Digital Awards-2026
- Шифруем ID сетью Фейстеля: защита API без правок в базе
- mTLS: руководство — от теории к практике с управлением сертификатами и защиты сервисов
- Не кибербез, а цифро-ТБ
- Атакуем LLM — дешево, сердито, ИИ-шно
- Echo Layer: как я пытался встроить приватность в обычную клавиатуру
- Тактильная эпоха — Часть 2: Складной планшет vs раскладной смартфон. И почему вы не понимаете, чего хотите
- Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов
- Максим Немов: Почему бизнес-гипотезы почти всегда ошибочны — и как на этом зарабатывают те, кто это понял