A Microsoft não conseguiu corrigir um bug de violação de dados na Descoberta Automática do Exchange por mais de cinco anos

De acordo com fontes online, a Microsoft está ciente de um bug na função Autodiscover, que é usada para detectar automaticamente os servidores de e-mail, obter configurações deles e fornecer-lhes credenciais, pelo menos desde 2016. Ele pode ser usado para coletar o domínio do Windows e as credenciais do aplicativo. Embora a Microsoft esteja ciente do problema há muito tempo, a empresa apenas aconselha os clientes a interagirem apenas com servidores confiáveis, em vez de corrigir o bug em si.

Imagem: The Register

De acordo com a fonte, o diretor-gerente da consultoria britânica de TI Supporting Role, Marco van Beek, enviou uma carta via Microsoft Security Response Center em 10 de agosto de 2016, na qual revelou o exploit Autodiscover que funciona com vários clientes de e-mail, incluindo Microsoft Outlook. Vale ressaltar que a exploração em si consistia em apenas 11 linhas de código e poderia ser usada para explorar o erro de descoberta automática no Outlook para Windows e macOS, aplicativos de e-mail padrão para Android e iOS, etc.

«Basicamente, descobri que é fácil acessar as senhas dos usuários do Exchange (e, portanto, do Active Directory) em texto simples. Não precisa comprometer a segurança corporativa e, na melhor das hipóteses, é tão seguro quanto o acesso em nível de arquivo a um site corporativo ”, afirma Marco van Beek.

Cerca de cinco anos depois, a empresa de segurança Guardicore descreveu sua visão do bug da Descoberta Automática na semana passada. A empresa estima que esse problema tenha levado ao vazamento de dados de centenas de milhares de usuários de domínios do Windows, cuja proteção não foi configurada corretamente. Como não há correção para o bug, os usuários são aconselhados a bloquear qualquer domínio de descoberta automática no nível do firewall ou DNS.