Brecha em protocolo da Microsoft vazou 100 mil senhas de email do Outlook

Você usa o Microsoft Outlook para ver emails do trabalho? Talvez seja melhor trocar de senha logo. Uma falha grave no sistema de Descoberta Automática da Microsoft permitiu que pesquisadores interceptassem 100 mil senhas de emails em formato de texto de organizações do mundo todo.

O Descoberta Automática (Autodiscover) é um protocolo do Microsoft Exchange para facilitar a configuração automática de serviços como o famoso Outlook — e sua função é simplificar a inclusão de novas contas no aplicativo de emails.

Relacionadas

Google tem ferramenta que mostra senhas hackeadas; saiba usar

RockYou2021: o que se sabe sobre vazamento com bilhões de senhas

Receba notícias de Tilt no WhatsApp e no Telegram

Um ser humano dá conta do básico, como inserir dados como endereço de email e senha. Mas sabemos que é comum se enrolar com outros detalhes técnicos envolvendo siglas como POP3 ou IMAP4, TLS ou SSL, TCP 465 ou 587 etc.

O objetivo do sistema é fazer com que qualquer pessoa seja capaz de configurar completamente seu Microsoft Outlook apenas fornecendo nome de usuário (email) e senha, e deixar todo o resto da configuração para o protocolo de Descoberta Automática da Microsoft.

100 mil senhas únicas de organizações

A Guardicore, empresa de segurança que descobriu a falha, comprou vários desses domínios e os operou como armadilhas para roubar senhas como prova de conceito entre 16 de abril e 25 de agosto deste ano. O resultado foi o seguinte: foram capturadas 372.072 credenciais de domínios do Windows, sendo 96.671 dessas credenciais únicas. As senhas vazaram de vários apps, incluindo o Outlook.

Depois que o usuário informa uma nova conta do Microsoft Exchange ao Outlook, por exemplo, aparece a uma tela solicitando seu nome de usuário e senha. Após preencher todos os detalhes, o Outlook tentará usar a Descoberta Automática da Microsoft para configurar sua caixa de entrada. É aí que aparece a brecha, "nos bastidores" do sistema.

O Outlook analisa o endereço de email fornecido pelo usuário, como exemplo@exemplo.com, e tenta construir um URL de descoberta automática com base neste endereço de e-mail no seguinte formato:

• autodiscover.exemplo.com

• exemplo.com/autodiscover

Caso nenhuma das URLs responda, a próxima tentativa seria com "autodiscover.com/autodiscover". Isso significa que o dono do site autodiscover.com receberá as solicitações que não chegarem ao domínio original. Incluindo a senha do usuário, sem criptografia nem nada.

O problema é que não houve tentativa do lado do aplicativo de verificar se o recurso está disponível ou mesmo se existe no servidor, antes de enviar uma solicitação já autenticada.

"As implicações de um vazamento de senhas em tal escala são enormes e podem colocar as organizações em perigo. Especialmente num mundo como hoje em que ataques de ransomware são comuns — a maneira mais fácil do invasor conseguir entrar numa organização é usar credenciais legítimas", disse o pesquisador Amit Serper, da Guardicore, ao site "Ars Technica".

Ao examinar os domínios dessas credenciais vazadas, foram encontrados credenciais de várias empresas em setores como fábricas, bancos, energia, imobiliárias, logística e têxtil.

O que empresas podem fazer

Do lado da vítima, no entanto, é difícil perceber algo de errado. Exceto por um aviso que pode indicar algum problema com o certificado SSL. Mas, se o hacker quiser, poderia facilmente evitar esse aviso usando um certificado SSL real, válido e grátis disponível na internet.

Para quem configurou o Outlook usando o Descoberta Automática, a recomendação é trocar de senha. Mesmo quem usa o Outlook para ver emails do trabalho, a dica de especialistas em segurança é trocar a senha periodicamente.

Para estancar o vazamento, porém, a brecha precisa ser corrigida pela Microsoft. Procurada por Tilt, a empresa não comentou o assunto até o fechamento desta reportagem.