Céges neveket és jelszavakat szivárogtatnak a levelezőprogramok

A Microsoft Outlook is érintett, rosszul implementáltak bennük egy funkciót – olvasható az Origo cikkében.

Forrás: ORIGO2021. 09. 23. 11:51
VéleményhírlevélJobban mondva - heti véleményhírlevél - ahol a hét kiemelt témáihoz fűzött személyes gondolatok összeérnek, részletek itt.

Sokkoló beszámolóval állt elő a Guardicore biztonsági cég, állítása szerint a Microsoft Outlook és egyéb levelezőprogramok már régóta céges levelezőfiókok felhasználói neveit és jelszavait szivárogtatják. A problémát a Microsoft Exchange levelezőszerver Autodiscover funkciójának rossz implementációja jelenti, többek közt az Office irodai csomagban lévő Microsoft Outlook is érintett.

Az AutoDiscover funkcióval a cégek alkalmazottai az e-mail-címük és a jelszavuk megadásával be tudják állítani a számítógépükön vagy mobileszközükön a levelezőprogramjukat, nem kell manuálisan beírniuk a kimenő és bejövő szervercímeket, kiválasztaniuk a portokat és a hitelesítési eljárásokat.

Ez varázslat úgy működik, hogy levelezőappok megpróbálják a megadott e-mail-címben lévő domaincímről letölteni a szükséges beállításokat.

Példaként amennyiben felhasználó által megadott e-mail-cím a [email protected], akkor a levelezőprogram az example.com címhez próbál meg csatlakozni a beállítások letöltése érdekében.

Viszont az adatszivárgás elkerülése miatt a levelezőprogramok csak akkor kapják meg a levelezőszerver beállításait a felkeresett kiszolgálótól, amennyiben hitelesítik magukat a felhasználók által megadott e-mail-címmel és jelszóval, így ezeket az adatokat el kell küldeniük.

A problémát az jelenti, hogy az AutoDiscover levelezőappokban található konkrét implementációi fura domaincímekkel kezdik felvenni a kapcsolatot, amennyiben meghiúsul az elvárt címmel való kapcsolatfelvétel, hátha ott megtalálják a beállításokat. Ennek megfelelően ellophatóak olyan módon a levelezőappjukat beállítani próbáló céges felhasználók e-mail-címei és jelszavai, hogy a támadók félregépelt nevű, vagy pusztán autodiscover.[akármi] webcímeket regisztrálnak be.

Az AutoDiscover dokumentációja nem tesz említést arról, hogy a levelezőappoknak ilyen keresgélési mutatványokat kellene végrehajtaniuk, ez nem normális működés.

A probléma kutatása során a Guardicore tizenegy autodiscover.valami stílusú webcímet jegyzett be, ezekre idén április 20. és augusztus 25. között olyan 650 ezer webes lekérés futott be, közel 97 ezer vállalati levelezőfiók nevét és jelszavát sikerült lementeni a szokatlan adathalászat segítésével. Többek közt a kínai tőzsdén jegyzett nagyvállalatok, élelmiszergyártók, befektetési bankok, erőművek, energetikai szolgáltatók, ingatlanos cégek, szállítmányozási cégek, továbbá divat- és ékszeripari vállalatok dolgozóinak a levelezőfiókjaiba tudott volna belépni a biztonsági cég.

A Guardicore szerint az adatszivárogtatós levelezőappok készítőinek valószínűleg fogalmuk sincs a problémáról, hiszen mások által programozott függvénykönyvtárak beépítésével implementálták az Autodiscover funkciót a saját szoftvereikben.

A teljes cikket ITT olvashatja tovább.

Borítókép: Pexels

Ne maradjon le a Magyar Nemzet legjobb írásairól, olvassa őket minden nap!

Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.