Alfonso Maruccia

Microsoft, spifferi online

I siti Web di Redmond espongono gli identificativi degli utenti nelle comunicazioni protette, un problema capace di "perseguitare" i malcapitati anche altrove online. Per Microsoft, poi, emerge anche un malware ruba-password

Roma - La connessione via Web a un account Microsoft è vulnerabile all'esposizione di un identificativo univoco dell'utente (CID), una stringa di testo trasmessa in chiaro anche su una connessione cifrata (HTTPS) e che potrebbe essere sfruttata per profilare gli utenti con le loro abitudini di navigazione.


Quando un utente si connette a un account Microsoft tramite Outlook.com o OneDrive.com, il CID viene comunicato come parte della richiesta di lookup al sistema DNS per l'indirizzo del server che contiene i dati di profilo; l'identificativo è anche parte integrante del tentativo di handshake del protocollo TLS per l'avvio di una connessione HTTPS.

Preso da solo, il CID può rivelare dati come il nome dell'account utente, la data dell'ultimo accesso e quella della sua creazione, le informazioni nel calendario Live e la posizione dell'utente; sfruttando l'unicità della stringa di testo sui siti esterni al network di Microsoft, invece, con il CID sarebbe in teoria possibile riconoscere un utente anche in caso di utilizzo di una rete anonimizzatrice come Tor.
Microsoft dice di essere al lavoro per risolvere il problema, ma un'altra vulnerabilità è emersa all'interno del componente Outlook Web App (OWA) del server Exchange - e in questo caso non si parla di rischi ipotetici alla privacy ma di un vero e proprio furto di dati sensibili degli utenti.

La società di sicurezza Cybereason ha infatti identificato un malware nascosto all'interno di un modulo per OWA, una DDL apparentemente legittima (OWAAUTH.dll) ma contenente una backdoor da cui sono passati gli ignoti cyber-criminali per rubare decine di migliaia di password.

OWA è un tool utile all'accesso remoto delle email all'interno di una rete aziendale, e la disponibilità ulteriore della backdoor ha permesso ai criminali di avere un controllo "persistente" e indiscriminato sulle comunicazioni dell'azienda contattata da Cybereason per diversi mesi.

Alfonso Maruccia

fonte immagine
Notizie collegate
3 Commenti alla Notizia Microsoft, spifferi online
Ordina
  • PI> Microsoft dice di essere al lavoro per risolvere il problema

    bene

    PI> ma un'altra vulnerabilità è emersa all'interno del componente Outlook Web App (OWA) del server Exchange

    Ma cosa? Non c'entra niente con la notizia precedente!

    PI> una DDL apparentemente legittima (OWAAUTH.dll) ma contenente una backdoor

    Allora non è legittima. Alfonso a questi qui hanno bucato il server sostituendo una dll legittima con una backdoor, non è una vulnerabilità di Exchange o di OWA. Quello che la società citata può eventualmente dire è come ciò è avvenuto, cioè se è stata sfruttata una nuova vulnerabilità o se semplicemente la ditta in questione non faceva il windows update da un anno.
    non+autenticato
  • - Scritto da: non so
    > Quello che la
    > società citata può eventualmente dire è come ciò
    > è avvenuto, cioè se è stata sfruttata una nuova
    > vulnerabilità o se semplicemente la ditta in
    > questione non faceva il windows update da un
    > anno.

    O molto piu' banalmente la ditta in questione si e' fatta buggerare dal solito commerciale M$ e ha messo winsozz sul server di produzione, dicendo: "La licenza sicuramente costa un po', ma cosi' potete risparmiare sul sistemista. Ci mette il suo nipotino a fare clicca clicca per mantenere il server, io mi prendo la mia grassa commissione, e se guarda sotto la scrivania, deve esserle caduta una busta..."
  • anche quelle di bitlocker immagino! A bocca aperta
    non+autenticato