Брешь в протоколе Exchange Autodiscover сливает сотни тысяч учётных данных

Екатерина Быстрова 23 Сентября 2021 - 10:17

Домашние пользователи

Умышленные утечки информации

Кража данных

...

Брешь в протоколе Exchange Autodiscover сливает сотни тысяч учётных данных

Исследователям удалось собрать сотни тысяч учётных данных доменов и приложений Windows благодаря уязвимости в имплементации протокола Autodiscover. Именно этот протокол используется в Microsoft Exchange.

Как объясняет сама Microsoft, Autodiscover обеспечивает лёгкий способ конфигурации клиентских приложений с минимальным участием пользователя. Например, Autodiscover помогает настроить клиент Outlook с помощью лишь имени пользователя и пароля.

Ещё в 2017 году специалисты по защите информации предупреждали о проблемах в имплементации Autodiscover, которые могут привести к утечке данных, но тогда все обозначенные уязвимости быстро пропатчили.

Теперь же эксперты компании Guardicore доказали, что у Autodiscover всё ещё есть дыры, причём даже более серьёзные, чем раньше. В частности, проблема затрагивает процедуру под названием «back-off»: когда Autodiscover используется для конфигурации имейл-клиента, последний пытается сформировать URL, основываясь на предоставленном пользователем адресе электронной почты. Примеры:

https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
https://example.com/Autodiscover/Autodiscover.xml

Если же эти URL не отвечают, включается механизм «back-off» в попытке получить доступ к ссылке следующего формата:

http://Autodiscover.com/Autodiscover/Autodiscover.xml

«Это значит, что владелец Autodiscover.com будет получать все запросы, которые не смогли достичь оригинального домена», — пишет команда Guardicore.

Специалисты зарегистрировали около десятка похожих доменов: Autodiscover.com.cn, Autodiscover.es, Autodiscover.in, Autodiscover.uk, а потом назначили их собственному веб-серверу. В период между 16 апреля и 25 августа 2021 года этот сервер получил более 370 тысяч учётных данных Windows-доменов.

Также в руки исследователей попали более 96 тыс. уникальных имён логинов и паролей из приложений вроде Outlook и мобильных имейл-клиентов. Напомним, что в том месяце число атак на Microsoft Exchange Server выросло на 170%.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 13 Ноября 2025 - 13:57

macOS Трояны Домашние пользователи

Троянские Zoom и Teams используют AppleScript для обхода macOS Gatekeeper

Распространители macOS-зловредов активно осваивают обход системной защиты с помощью AppleScript. За последние месяцы число вредоносных .scpt, выдаваемых за деловые документы либо апдейты Zoom и Microsoft Teams, заметно умножилось.

По умолчанию файлы в таком формате открываются в Script Editor двойным щелчком. Злоумышленники скрывают встроенные команды за большим количеством пустых строк и используют социальную инженерию, чтобы вынудить жертву нажать Run или Command+R для запуска скрипта — даже из карантина Gatekeeper.

Вредоносные .scpt раздаются с сайтов в заархивированном виде — как ZIP либо DMG. При их извлечении пользователю для пущей убедительности отображается поддельный документ (предложение сотрудничества, выгодного вложения и т. п.) или кастомная иконка приложения.

Когда Apple закрыла возможность запуска неподписанного софта в macOS с согласия юзера (клик правой кнопкой мыши > «открыть»), авторам атак пришлось искать альтернативные пути обхода Gatekeeper.

Применять с этой целью AppleScript первыми начали APT-группы, в частности, BlueNoroff. Новая тактика оказалась эффективной, и ее вязли на вооружение распространители коммерческих зловредов.

Так, в настоящее время этот вектор используют стилеры — Odyssey и MacSync. Фейки Zoom, Teams и других популярных программ пока плохо детектятся на VirusTotal.

Брешь в протоколе Exchange Autodiscover сливает сотни тысяч учётных данных

Читайте также