Céges neveket és jelszavakat szivárogtatnak a levelezőprogramok

laptop notebook office internet tattoo
Vágólapra másolva!
A Microsoft Outlook is érintett, rosszul implementáltak bennük egy funkciót.
Vágólapra másolva!

Sokkoló beszámolóval állt elő a Guardicore biztonsági cég, állítása szerint a Microsoft Outlook és egyéb levelezőprogramok már régóta céges levelezőfiókok felhasználói neveit és jelszavait szivárogtatják. A problémát a Microsoft Exchange levelezőszerver Autodiscover funkciójának rossz implementációja jelenti, többek közt az Office irodai csomagban lévő Microsoft Outlook is érintett.

A kép csak illusztráció Forrás: Eugene Chystiakov / Pexels

Az AutoDiscover funkcióval a cégek alkalmazottai az e-mail-címük és a jelszavuk megadásával be tudják állítani a számítógépükön vagy mobileszközükön a levelezőprogramjukat, nem kell manuálisan beírniuk a kimenő és bejövő szervercímeket, kiválasztaniuk a portokat és a hitelesítési eljárásokat.

Ez varázslat úgy működik, hogy levelezőappok megpróbálják a megadott e-mail-címben lévő domaincímről letölteni a szükséges beállításokat. Példaként amennyiben felhasználó által megadott e-mail-cím a user@example.com, akkor a levelezőprogram az example.com címhez próbál meg csatlakozni a beállítások letöltése érdekében.

Viszont az adatszivárgás elkerülése miatt a levelezőprogramok csak akkor kapják meg a levelezőszerver beállításait a felkeresett kiszolgálótól, amennyiben hitelesítik magukat a felhasználók által megadott e-mail-címmel és jelszóval, így ezeket az adatokat el kell küldeniük.

A problémát az jelenti, hogy az AutoDiscover levelezőappokban található konkrét implementációi fura domaincímekkel kezdik felvenni a kapcsolatot, amennyiben meghiúsul az elvárt címmel való kapcsolatfelvétel, hátha ott megtalálják a beállításokat. Ennek megfelelően ellophatóak olyan módon a levelezőappjukat beállítani próbáló céges felhasználók e-mail-címei és jelszavai, hogy a támadók félregépelt nevű, vagy pusztán autodiscover.[akármi] webcímeket regisztrálnak be.

Az AutoDiscover dokumentációja nem tesz említést arról, hogy a levelezőappoknak ilyen keresgélési mutatványokat kellene végrehajtaniuk, ez nem normális működés.

A probléma kutatása során a Guardicore tizenegy autodiscover.valami stílusú webcímet jegyzett be, ezekre idén április 20. és augusztus 25. között olyan 650 ezer webes lekérés futott be, közel 97 ezer vállalati levelezőfiók nevét és jelszavát sikerült lementeni a szokatlan adathalászat segítésével. Többek közt a kínai tőzsdén jegyzett nagyvállalatok, élelmiszergyártók, befektetési bankok, erőművek, energetikai szolgáltatók, ingatlanos cégek, szállítmányozási cégek, továbbá divat- és ékszeripari vállalatok dolgozóinak a levelezőfiókjaiba tudott volna belépni a biztonsági cég.

A Guardicore szerint az adatszivárogtatós levelezőappok készítőinek valószínűleg fogalmuk sincs a problémáról, hiszen mások által programozott függvénykönyvtárak beépítésével implementálták az Autodiscover funkciót a saját szoftvereikben.

Hírünk írásáig a Microsoft nem kommentálta a felfedezést, továbbá a hiba által érintett levelezőprogramokról sincs teljes lista.

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!