Независимый исследователь Марко ван Бик (Marco van Beek) еще в августе 2016 года уведомил Microsoft о неприятной особенности работы Microsoft Exchange, которую он обнаружил незадолго до этого.
«Недавно я обнаружил, что большинство клиентов Microsoft Exchange (Outlook, а также почтовые приложения iPhone, Android и Blackberry) будут более чем рады предоставить пароль пользователя, в формате простого текста, любому веб-серверу на том же домене, как и тот, что используется в адресе email. И для осуществления этого понадобятся только четыре строчки кода и локальный файл конфигурации», — рассказал исследователь журналистам издания The Register.
Марко ван Бик объясняет, что веб-серверы зачастую защищены куда хуже корпоративной почты, так что для атаки на Microsoft Exchange понадобится только скомпрометировать веб-сервер домена. «Затем можно расслабиться, пока идет сбор всех паролей, что когда-либо могут вам пригодится, так как Exchange обычно использует SSO (Single Sign On) для Active Directory», — говорит ван Бик.
Исследователь сообщил Microsoft о проблеме еще 10 августа текущего года, но компания ответила лишь сейчас, по прошествии месяца с небольшим. Представители компании сообщили, что обнаруженную проблему нельзя назвать уязвимостью, ведь атака подразумевает, что веб-сервер домена уже был скомпрометирован каким-то другими методами. Следовательно, разработчики не видят никакой нужды в выпуске обновлений или патчей.
Марко ван Бик выразил несогласие с позицией компании:
«В ответе они случайно забыли упомянуть о том, что взломанный веб-сервер по-прежнему обладает абсолютно легитимным и действительным сертификатом, и по чистому совпадению использует этот доверенный тоннель для создания проблем. Кроме того, пока я нашел только один Exchange-клиент, который действительно сравнивает имя хоста с сертификатом, и это собственный тестовый инструмент Microsoft».