-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Office365 – jak bruteforcować poprawne e-maile? [phishing!]

24 października 2019, 10:10 | W biegu | komentarzy 5

Ciekawe spostrzeżenie w formie gotowego skryptu można zobaczyć tutaj. Microsoft udostępnia pewien endpoint API, który zwraca informację czy dany adres e-mail jest dostępny w ramach Office365 czy nie:

/autodiscover/autodiscover.json/v1.0/{EMAIL}?Protocol=Autodiscoverv1

Odpowiedź HTTP 200 oznacza, że e-mail jest zarejestrowany.

Co ciekawe nie wymaga to podania nazwy firmy, nie ma ograniczenia na liczbę prób (badacz spokojnie uzyskuje prędkości typu 2000 e-maili na minutę), sama firma w którą jest atak celowany też nie dostaje żadnego alertu.

Do czego może służyć ta technika? Np. do przygotowywania bazy e-maili pod phishing. Microsoft enumerację e-maili uznaje jako ficzer, nie podatność.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Zdzich

    Ciekawe odkrycie, bo do tej pory podobną informację (że dany adres e-mail jest dostępny w infrastrukturze Microsoft ESMTP MAIL Service) można było wyciągnąć (również bez żadnej próby logowania się) chyba tylko odpytując serwer z rekordu MX domeny danego adresu e-mail (są do tego różne online-serwisy):
    RCPT TO:
    250 2.1.5 Recipient OK

    Odpowiedz
  2. hail

    kto ich tam wie, może to jest „ficzer”, który ma działać w określonym oknie czasowym dla określonych osób.
    może chcą przyciągnąć i zbadać badaczy?

    ficzer pewnie zmieni status na „podatność” i „załatają” jak się zrobi jakiś „szitsztorm”.

    Odpowiedz
  3. Ciekawe jestem co na to RODO?

    Odpowiedz
  4. Kamil Zabielski

    Michał, masz gdzieś oficjalne stanowisko Microsoft w tej sprawie?
    Bo szukałem, i nie mogłem go znaleźć.

    Swoją drogą, zrobienie 2K rqps z jednego adresu, bo z tego, co widzę skrypt nie zakłada rozproszenia powinno zapalić choinkę od bezpieczeństwa u Microsoft. Spora część organizacji w O365, które znam to 20-30 osób. Nikt nie robi 2K rqps-ów pytając o losowe adresy.

    Postscriptum:
    Nie, żebym ich bronił. Sam właśnie przeniosłem dwie organizacje z O365 do Google, i jestem przeszczęśliwy z tą decyzją. Tragicznie się z nimi pracowało, a rozwiązanie 90% problemów wymagało znajomości PowerShella. Gdy piszesz, że podstawową formą kontaktu ze wspraciem jest email, to oni dzwonią do Ciebie 5 minut później z zapytaniem: „Czy na pewno wszystko jest OK?” Wysyłasz im screenshoty, że funkcjonalność jest niedostępna, a pierwsza linia upiera się, że nie. No dramat.

    Odpowiedz
  5. A

    autodiscover to protokół służący outlookom do automatycznego skonfigurowania poczty. Udokumentowany na stronie microsoftu. Na podstawie emaila (który użytkownik podaje przy dodawaniu nowego konta w outlooku) usługa może wypluć endpoint do ActiveSync ale też adresy serwerów imap, pop3, smtp jak i login do logowania się do tychże.

    thunderbird ma swój odpowiednik – autoconfig, https://developer.mozilla.org/en-US/docs/Mozilla/Thunderbird/Autoconfiguration

    Niektórzy dostawcy poczty to implementują.

    Odpowiedz

Odpowiedz na hail