Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Office365 – jak bruteforcować poprawne e-maile? [phishing!]
Ciekawe spostrzeżenie w formie gotowego skryptu można zobaczyć tutaj. Microsoft udostępnia pewien endpoint API, który zwraca informację czy dany adres e-mail jest dostępny w ramach Office365 czy nie:
/autodiscover/autodiscover.json/v1.0/{EMAIL}?Protocol=Autodiscoverv1
Odpowiedź HTTP 200 oznacza, że e-mail jest zarejestrowany.
Co ciekawe nie wymaga to podania nazwy firmy, nie ma ograniczenia na liczbę prób (badacz spokojnie uzyskuje prędkości typu 2000 e-maili na minutę), sama firma w którą jest atak celowany też nie dostaje żadnego alertu.
Do czego może służyć ta technika? Np. do przygotowywania bazy e-maili pod phishing. Microsoft enumerację e-maili uznaje jako ficzer, nie podatność.
–ms
Ciekawe odkrycie, bo do tej pory podobną informację (że dany adres e-mail jest dostępny w infrastrukturze Microsoft ESMTP MAIL Service) można było wyciągnąć (również bez żadnej próby logowania się) chyba tylko odpytując serwer z rekordu MX domeny danego adresu e-mail (są do tego różne online-serwisy):
RCPT TO:
250 2.1.5 Recipient OK
kto ich tam wie, może to jest „ficzer”, który ma działać w określonym oknie czasowym dla określonych osób.
może chcą przyciągnąć i zbadać badaczy?
ficzer pewnie zmieni status na „podatność” i „załatają” jak się zrobi jakiś „szitsztorm”.
Ciekawe jestem co na to RODO?
Michał, masz gdzieś oficjalne stanowisko Microsoft w tej sprawie?
Bo szukałem, i nie mogłem go znaleźć.
Swoją drogą, zrobienie 2K rqps z jednego adresu, bo z tego, co widzę skrypt nie zakłada rozproszenia powinno zapalić choinkę od bezpieczeństwa u Microsoft. Spora część organizacji w O365, które znam to 20-30 osób. Nikt nie robi 2K rqps-ów pytając o losowe adresy.
Postscriptum:
Nie, żebym ich bronił. Sam właśnie przeniosłem dwie organizacje z O365 do Google, i jestem przeszczęśliwy z tą decyzją. Tragicznie się z nimi pracowało, a rozwiązanie 90% problemów wymagało znajomości PowerShella. Gdy piszesz, że podstawową formą kontaktu ze wspraciem jest email, to oni dzwonią do Ciebie 5 minut później z zapytaniem: „Czy na pewno wszystko jest OK?” Wysyłasz im screenshoty, że funkcjonalność jest niedostępna, a pierwsza linia upiera się, że nie. No dramat.
autodiscover to protokół służący outlookom do automatycznego skonfigurowania poczty. Udokumentowany na stronie microsoftu. Na podstawie emaila (który użytkownik podaje przy dodawaniu nowego konta w outlooku) usługa może wypluć endpoint do ActiveSync ale też adresy serwerów imap, pop3, smtp jak i login do logowania się do tychże.
thunderbird ma swój odpowiednik – autoconfig, https://developer.mozilla.org/en-US/docs/Mozilla/Thunderbird/Autoconfiguration
Niektórzy dostawcy poczty to implementują.