Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Безопасность личной и корпоративной почты Уязвимость в почтовом сервере MS Exchange раскрывает пароли


Уязвимость в корпоративном почтовом сервере Microsoft Exchange была обнаружена независимым исследователем в информационной безопасности Марко ван Биком (Marco van Beek). Уязвимости подвержены все почтовые клиенты сервера Exchange включая популярный Outlook, мобильные клиенты для Windows Phone, Android, Blackberry и другие. Суть уязвимости заключается в том, что используя всего четыре строки программного кода и локальный конфигурационный файл автонастроек можно отправить пароль пользователя в открытом виде любому веб-серверу, принадлежащему домену электронной почты пользователя.

Об уязвимости ИБ-исследователь уведомил Майкрософт ещё в начале августа, однако софтверный гигант отреагировал на это лишь через месяц, да и то отказавшись выпускать патч для устранения уязвимости. Своё нежелание работать над ошибками в MS объяснили тем, что для эксплуатации указанной уязвимости также требуется компрометация веб-сервера атакуемого домена каким-то другим способом и поэтому у компании нет планов по выпуску обновления системы безопасности.

Ответ Microsoft не удовлетворил Марко ван Бика — по его мнению в ответе не упомянуто, что валидный SSL-сертификат, продолжающий использоваться на взломанном сервере, может дать злоумышленникам шанс воспользоваться им для мошеннических действий.

Провайдер хостинга корпоративной почты Tendence.ru рекомендует почтовый клиент с открытым исходным кодом Mozilla Thunderbird.


В избранное