Брешь в протоколе Exchange Autodiscover сливает сотни тысяч учётных данных

Екатерина Быстрова 23 Сентября 2021 - 10:17

Домашние пользователи

Умышленные утечки информации

Кража данных

...

Брешь в протоколе Exchange Autodiscover сливает сотни тысяч учётных данных

Исследователям удалось собрать сотни тысяч учётных данных доменов и приложений Windows благодаря уязвимости в имплементации протокола Autodiscover. Именно этот протокол используется в Microsoft Exchange.

Как объясняет сама Microsoft, Autodiscover обеспечивает лёгкий способ конфигурации клиентских приложений с минимальным участием пользователя. Например, Autodiscover помогает настроить клиент Outlook с помощью лишь имени пользователя и пароля.

Ещё в 2017 году специалисты по защите информации предупреждали о проблемах в имплементации Autodiscover, которые могут привести к утечке данных, но тогда все обозначенные уязвимости быстро пропатчили.

Теперь же эксперты компании Guardicore доказали, что у Autodiscover всё ещё есть дыры, причём даже более серьёзные, чем раньше. В частности, проблема затрагивает процедуру под названием «back-off»: когда Autodiscover используется для конфигурации имейл-клиента, последний пытается сформировать URL, основываясь на предоставленном пользователем адресе электронной почты. Примеры:

https://Autodiscover.example.com/Autodiscover/Autodiscover.xml
https://example.com/Autodiscover/Autodiscover.xml

Если же эти URL не отвечают, включается механизм «back-off» в попытке получить доступ к ссылке следующего формата:

http://Autodiscover.com/Autodiscover/Autodiscover.xml

«Это значит, что владелец Autodiscover.com будет получать все запросы, которые не смогли достичь оригинального домена», — пишет команда Guardicore.

Специалисты зарегистрировали около десятка похожих доменов: Autodiscover.com.cn, Autodiscover.es, Autodiscover.in, Autodiscover.uk, а потом назначили их собственному веб-серверу. В период между 16 апреля и 25 августа 2021 года этот сервер получил более 370 тысяч учётных данных Windows-доменов.

Также в руки исследователей попали более 96 тыс. уникальных имён логинов и паролей из приложений вроде Outlook и мобильных имейл-клиентов. Напомним, что в том месяце число атак на Microsoft Exchange Server выросло на 170%.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 11 Августа 2025 - 18:35

Android Домашние пользователи Корпорации Google

Линус Торвальдс назвал патчи Google для RISC-V в Linux мусором

Линус Торвальдс снова высказался в своём фирменном стиле — на этот раз в адрес инженера Google из команды Android, Пальмера Даббелта. Поводом стали патчи для архитектуры RISC-V, предложенные в Linux Kernel 6.17, который сейчас находится в стадии merge window.

Торвальдс резко раскритиковал не только качество кода, но и время его отправки:

«Нет. Это мусор, и он пришёл слишком поздно. Я просил присылать пул-реквесты заранее, потому что я в поездке. Если вы не можете следовать этому правилу, то хотя бы делайте пул-реквесты качественными».

По его словам, изменения включали «всякий хлам», не относящийся к RISC-V, в общие заголовочные файлы ядра. И, как подчеркнул Торвальдс, «это то, что никто никогда не должен мне присылать — тем более поздно в merge window».

Фактически он посоветовал Даббелту перенести правки на следующий релиз — Linux Kernel 6.18 — вместо того, чтобы пытаться «додавить» их в текущий.

Хотя формально merge window не запрещает отправку новых изменений, негласное правило простое: код в этот период должен быть полностью готов и чист. В этот раз, по мнению Торвальдса, условие нарушено, поэтому его резкая реакция вряд ли стала неожиданностью для сообщества.

Брешь в протоколе Exchange Autodiscover сливает сотни тысяч учётных данных

Читайте также