Des bogues dans la mise en œuvre de la fonction Autodiscover de Microsoft Exchange ont entraîné la fuite d’environ 100 000 noms de connexion et mots de passe pour des domaines Windows dans le monde entier.
Dans un nouveau rapport, Amit Serper, AVP of Security Research de Guardicore, révèle comment la mise en œuvre incorrecte du protocole Autodiscover, plutôt qu’un bogue dans Microsoft Exchange, provoque l’envoi d’informations d’identification Windows à des sites Web tiers non fiables.
Microsoft Exchange utilise une fonction Autodiscover pour configurer automatiquement le client de messagerie d’un utilisateur, tel que Microsoft Outlook, avec les paramètres de messagerie prédéfinis de son organisation.
Lorsqu’un utilisateur d’Exchange saisit son adresse électronique et son mot de passe dans un client de messagerie, tel que Microsoft Outlook, ce dernier tente ensuite de s’authentifier auprès de diverses URL d’Exchange Autodiscover.
Pour tester cela, Guardicore a enregistré les domaines suivants et a configuré des serveurs Web sur chacun d’eux pour voir combien d’informations d’identification seraient divulguées par la fonction Microsoft Exchange Autodiscover.
Serper a fourni quelques suggestions que les organisations et les développeurs peuvent utiliser pour atténuer ces fuites Microsoft Exchange Autodiscover.