Microsoft Outlook je jednou z najpopulárnejších e-mailových platforiem na svete. Osobne sa spolieham na svoju e-mailovú adresu v programe Outlook pri pracovných a osobných úlohách.

Program Outlook bohužiaľ nemusí byť taký bezpečný, ako by sme si my používatelia chceli myslieť. Podľa správy uverejnenej v Carnegie Mellon Software Engineering Institute, Outlook prichádza s bezpečnostnou chybou, ktorá by mohla spôsobiť únik hesla hash, keď používatelia ukážu e-maily vo formáte RTF, ktoré obsahujú vzdialene hostené objekty OLE.

Sledujte svoje heslo programu Outlook

Táto chyba zabezpečenia existuje, pretože gigant Redmond pri načítavaní položiek zo vzdialeného servera SMB nepoužíva prísne overenie obsahu a obmedzenia. Na druhej strane tú istú zraniteľnosť nemožno zneužiť pri prístupe k obsahu hostenému na webe, keďže spoločnosť Microsoft pri zaobchádzaní s týmto typom obsahu uplatňuje oveľa prísnejšie obmedzenia.

Program Outlook nenačítava obrázky hostené na webe do e-mailov s cieľom chrániť adresy IP používateľov. Keď však používatelia pristupujú k e-mailovým správam RTF, ktoré obsahujú objekty OLE načítané zo vzdialeného servera SMB, program Outlook načíta príslušné obrázky.

To vedie k množstvu netesností, ktoré zahŕňajú adresu IP, názov domény a ďalšie, ako správy vysvetľujú:

Program Outlook blokuje vzdialený webový obsah z dôvodu rizika ochrany osobných údajov pri webových chybách. Ale s e-mailom vo formáte RTF je objekt OLE načítaný bez interakcie používateľa. Tu vidíme, ako sa automaticky rokuje o pripojení SMB. Jedinou akciou, ktorá spúšťa toto vyjednávanie, je zobrazenie ukážky e-mailu v programe Outlook, ktorý sa do nej odosiela. Vidím, že unikli nasledujúce veci: adresa IP, názov domény, meno používateľa, názov hostiteľa, kľúč relácie SMB. Vzdialený objekt OLE v e-mailových správach typu Rich Text funguje ako webová chyba na steroidoch!