Microsoft Outlook er en af ​​de mest populære e-mail-platforme i verden. Jeg er personlig afhængig af min Outlook-e-mail-adresse til arbejdsrelaterede såvel som personlige opgaver.

Desværre er Outlook muligvis ikke så sikker, som vi brugere gerne vil tænke. I henhold til en rapport udgivet af Carnegie Mellon Software Engineering Institute kommer Outlook med en sikkerhedsfejl, der kan udløse hash-lækager med adgangskode, når brugerne får vist en e-mail med rich text-format, der indeholder eksternt hostede OLE-objekter.

Se din Outlook-adgangskode

Denne sikkerhedssårbarhed findes, fordi Redmond-giganten ikke bruger streng indholdsverifikation og begrænsninger, når de indlæser elementer fra en ekstern SMB-server. På den anden side kan den samme sårbarhed ikke udnyttes, når man får adgang til indhold med webhost, da Microsoft anvender meget strengere begrænsninger, når man håndterer denne type indhold.

Outlook indlæser ikke billeder med webhost i e-mails for at beskytte brugernes IP-adresser. Når brugere får adgang til RTF-e-mail-meddelelser, der indeholder OLE-objekter, der er indlæst fra en ekstern SMB-server, indlæser Outlook de respektive billeder.

Dette fører til en række lækager, der inkluderer IP-adresse, domænenavn og mere, som rapporterne forklarer:

Outlook blokerer for eksternt webindhold på grund af privatlivets risiko for webbugs. Men med en e-mail med rig tekst, indlæses OLE-objektet uden brugerinteraktion. Her kan vi se, end en SMB-forbindelse automatisk forhandles. Den eneste handling, der udløser denne forhandling, er at Outlook forhåndsvisning af en e-mail, der sendes til den. Jeg kan se, at følgende ting lækkes: IP-adresse, domænenavn, brugernavn, værtsnavn, SMB-sessionstast. Et eksternt OLE-objekt i en e-mail med rig tekst fungerer som en webfejl på steroider!