Microsoft Outlook jedna je od najpopularnijih platformi za e-poštu na svijetu. Osobno se oslanjam na svoju Outlook e-adresu za radne kao i za osobne zadatke.

Nažalost, Outlook možda nije tako siguran kako bismo mi korisnici željeli misliti. Prema izvještaju koji je objavio Carnegie Mellon Institut za softversko inženjerstvo, Outlook dolazi sa sigurnosnom pogreškom koja bi mogla pokrenuti propuštanje hash-a zaporke kada korisnici pregledavaju e-poštu formata obogaćenog teksta koja sadrži udaljene host OLE objekata.

Pogledajte svoju Outlooku lozinku

Ova sigurnosna ranjivost postoji jer Redmond gigant ne koristi strogu provjeru sadržaja i ograničenja za učitavanje predmeta s udaljenog SMB poslužitelja. S druge strane, ista ranjivost ne može se iskoristiti pri pristupu sadržaju s web hostingom jer Microsoft primjenjuje mnogo stroža ograničenja kada se bavi s takvom vrstom sadržaja.

Outlook ne učitava web sadržajne slike u e-poruke kako bi zaštitio IP adrese korisnika. Međutim, kada korisnici pristupe RTF porukama e-pošte koje sadrže OLE objekte učitane s udaljenog SMB poslužitelja, Outlook učitava odgovarajuće slike.

To dovodi do niza propuštanja koja uključuju IP adresu, naziv domene i više kao što objašnjava izvješća:

Outlook blokira udaljeni web sadržaj zbog rizika privatnosti web pogrešaka. Ali s bogatom tekstualnom e-poštom, objekt OLE učitava se bez interakcije korisnika. Ovdje možemo vidjeti kako se SMB veza automatski pregovara. Jedina radnja koja pokreće ovaj pregovor je Outlook koji pregleda e-poštu koja mu je poslana. Vidim da propuštaju sljedeće stvari: IP adresa, ime domene, korisničko ime, ime računala, SMB ključ sesije. Udaljeni OLE objekt u bogatim tekstualnim porukama funkcionira kao web bug na steroidima!