La connessione via Web a un account Microsoft è vulnerabile all’esposizione di un identificativo univoco dell’utente (CID), una stringa di testo trasmessa in chiaro anche su una connessione cifrata (HTTPS) e che potrebbe essere sfruttata per profilare gli utenti con le loro abitudini di navigazione.
Quando un utente si connette a un account Microsoft tramite Outlook.com o OneDrive.com, il CID viene comunicato come parte della richiesta di lookup al sistema DNS per l’indirizzo del server che contiene i dati di profilo; l’identificativo è anche parte integrante del tentativo di handshake del protocollo TLS per l’avvio di una connessione HTTPS.
Preso da solo, il CID può rivelare dati come il nome dell’account utente, la data dell’ultimo accesso e quella della sua creazione, le informazioni nel calendario Live e la posizione dell’utente; sfruttando l’unicità della stringa di testo sui siti esterni al network di Microsoft, invece, con il CID sarebbe in teoria possibile riconoscere un utente anche in caso di utilizzo di una rete anonimizzatrice come Tor.
Microsoft dice di essere al lavoro per risolvere il problema, ma un’altra vulnerabilità è emersa all’interno del componente Outlook Web App (OWA) del server Exchange – e in questo caso non si parla di rischi ipotetici alla privacy ma di un vero e proprio furto di dati sensibili degli utenti.
La società di sicurezza Cybereason ha infatti identificato un malware nascosto all’interno di un modulo per OWA, una DDL apparentemente legittima ( OWAAUTH.dll ) ma contenente una backdoor da cui sono passati gli ignoti cyber-criminali per rubare decine di migliaia di password.
OWA è un tool utile all’accesso remoto delle email all’interno di una rete aziendale, e la disponibilità ulteriore della backdoor ha permesso ai criminali di avere un controllo “persistente” e indiscriminato sulle comunicazioni dell’azienda contattata da Cybereason per diversi mesi.
Alfonso Maruccia
Ti potrebbe interessare
6 ott 2015