Уязвимость в корпоративном почтовом сервере Microsoft Exchange была обнаружена независимым исследователем в информационной безопасности Марко ван Биком (Marco van Beek). Уязвимости подвержены все почтовые клиенты сервера Exchange включая популярный Outlook, мобильные клиенты для Windows Phone, Android, Blackberry и другие. Суть уязвимости заключается в том, что используя всего четыре строки программного кода и локальный конфигурационный файл автонастроек можно отправить пароль пользователя в открытом виде любому веб-серверу, принадлежащему домену электронной почты пользователя.
Об уязвимости ИБ-исследователь уведомил Майкрософт ещё в начале августа, однако софтверный гигант отреагировал на это лишь через месяц, да и то отказавшись выпускать патч для устранения уязвимости. Своё нежелание работать над ошибками в MS объяснили тем, что для эксплуатации указанной уязвимости также требуется компрометация веб-сервера атакуемого домена каким-то другим способом и поэтому у компании нет планов по выпуску обновления системы безопасности.
Ответ Microsoft не удовлетворил Марко ван Бика — по его мнению в ответе не упомянуто, что валидный SSL-сертификат, продолжающий использоваться на взломанном сервере, может дать злоумышленникам шанс воспользоваться им для мошеннических действий.
Провайдер хостинга корпоративной почты Tendence.ru рекомендует почтовый клиент с открытым исходным кодом Mozilla Thunderbird.
2180 просмотров