Grave bug di Outlook (funzionalità autodiscover)

[xavier77]

https://arstechnica.com/information-tec ... passwords/
Update:
Primi rimedi di Microsoft (comprare domini con autodiscover):
https://www.bleepingcomputer.com/news/m ... edentials/

[korda]

Se qualcuno avesse accesso ad un tenant di Office365 potrebbe postare lo stato attuale, e ufficiale, di troubleshooting...

[woddy68]

...abbastanza inquietante scoprire che erano a conoscenza di vulnerabilità fin dal 2017.
https://www.blackhat.com/asia-17/briefi ... ision-5301

[korda]

...abbastanza inquietante scoprire che erano a conoscenza di vulnerabilità fin dal 2017.
https://www.blackhat.com/asia-17/briefi ... ision-5301

...appunto per questo ho scritto...

Se qualcuno avesse accesso ad un tenant di Office365 potrebbe postare lo stato attuale, e ufficiale, di troubleshooting...

[Clover]

Avevo letto anche io settimana scorsa su un sito di notizie di informatica ma non avevo trovato nessuna comunicazione ufficiale al riguardo (CVE, US-CERT, exploit,...) quindi lo avevo dato per dubbio.
Qualcuno lo ha verificato di persona?

[woddy68]

Oltre ai vari link già pubblicati, tra i tanti... https://www.punto-informatico.it/micros ... odiscover/
https://threatpost.com/exchange-outlook ... ds/175004/
https://www.cybersecurity360.it/nuove-m ... -dettagli/
https://thehackernews.com/2021/09/micro ... 00000.html

[Clover]

Oltre ai vari link già pubblicati, tra i tanti... https://www.punto-informatico.it/micros ... odiscover/
https://threatpost.com/exchange-outlook ... ds/175004/
https://www.cybersecurity360.it/nuove-m ... -dettagli/
https://thehackernews.com/2021/09/micro ... 00000.html

Il problema è che sono tutti siti di informazione o blog che potrebbero essersi copiati a vicenda la news (dubbia), nei portali ufficiali di "security response" tipo https://www.cvedetails.com/ o https://us-cert.cisa.gov/ non c'è traccia di questo problema/vulnerabilità.

[woddy68]

Forse non c'è perché c'è una controversia in corso, ma è solo un'ipotesi, non conosco il sito e la metodologia di segnalazione, tuttavia qui viene indicato come CVE-2016-9940 e CVE-2017-2414, sono bug vecchi come puoi vedere, ma sembra ci sia ancora, tanto che sono stati fatti test. Comunque qui c'è anche il motivo della controversia. https://searchsecurity.techtarget.com/n ... redentials

[Clover]

Ok, è già qualcosa di più, ma un semplice CVE riservato non è sufficiente per rendere credibile una notizia e il CVE-2017-2414 è specifico per iOS, già risolto.
Se effettivamente è dal 2016/7 che il problema è stato segnalato a questo punto va pubblicato l'exploit (io lo avrei pubblicato molto prima francamente) con i dettagli per eseguire l'attacco e dato che non ho ancora visto nulla del genere resto dubbioso, anzi ci vedo solo tanta confusione.

[woddy68]

Ok, è già qualcosa di più, ma un semplice CVE riservato non è sufficiente per rendere credibile una notizia e il CVE-2017-2414 è specifico per iOS, già risolto.
Se effettivamente è dal 2016/7 che il problema è stato segnalato a questo punto va pubblicato l'exploit (io lo avrei pubblicato molto prima francamente) con i dettagli per eseguire l'attacco e dato che non ho ancora visto nulla del genere resto dubbioso, anzi ci vedo solo tanta confusione.

Dal momento che è stata presa in considerazione da Microsoft, altrimenti l'avrebbe ignorata o smentita, sulla veridicità non credo ci siano molti dubbi, anche perché la notizia è stata ripresa da tutti i blog, anche quelli più autorevoli di sicurezza.

[korda]

Quando mi riferivo al tenant intendevo questo, ma non riesco a scorrere agevolmente la cronologia...