Glop, glop
On est vendredi mais ce n'est pas un 'trollDi. Asseyez-vous bien, ça va décoiffer d'(in)sécurité.
Un copain dans l'IT vient de m'appeler par rapport à un gros groupe français. Ils utilisent un Exchange 2016 chez OVH (quelle idée mais bon, soit).
Voici les étapes qu'il a réalisées devant moi :
- Lancer Outlook - Ajouter un compte Exchange du domaine du client (pour le coup, un compte utilisé uniquement pour les notifs des infra du client). - On ferme Outlook (oui parce que chez Microsoft, on est trop con pour ajouter le compte directement dans l'interface) - Du coup, on relance Outlook - On voit que le compte a bien été ajouté (whoua super) - On attend quelques secondes (parce qu'on n'a pas la fibre) - et LA, pouf, pouf, magie du direct, Outlook ajoute TOUS les comptes du domaine du client sans avoir à saisir le moindre mot de passe. Les boites de réception, tout est accessible.
Voilà comment ByPasser la sécurité chez Microsoft + OVH (parce que c'est forcément la faute de l'un et/ou de l'autre puisque dans l'interface web d'OVH, on a vraiment accès à que dalle.
Est-ce que quelqu'un a déjà entendu parler d'un tel bug ?
(allez les pingouins, là vous pouvez vous marrer parce que franchement, même moi là...)
Vincent
Cela ressemble à un problème de délégation de boite. Qqn a du déléguer un accès en lecture (ou écriture) à tout ou partie d'une boite exchange (courriers, calendrier...)
-----Message d'origine----- De : David Ponzone david.ponzone@gmail.com Envoyé : vendredi 11 février 2022 14:52 À : Vincent Duvernet vincent.duvernet@nolme.com Cc : frsag@frsag.org Objet : [FRsAG] Re: Faille critique sur Exchange 2016 chez OVH
Hmm c’est un Exchange hébergé chez OVH par le client, ou c’est LE service Exchange d’OVH ?
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Hello,
En effet, ça ressemble à ça ! On peut e arriver à des configuration aberrante si on ne fait pas bien attention !
----------------------------------- Pierre DUMAY 06 62 76 29 27
-----Original Message----- From: Christophe Grenier cgrenier@globalsp.com Sent: vendredi 11 février 2022 14:56 To: David Ponzone david.ponzone@gmail.com; Vincent Duvernet vincent.duvernet@nolme.com Cc: frsag@frsag.org Subject: [FRsAG] Re: Faille critique sur Exchange 2016 chez OVH
Warning: The sender of this message could not be validated, and may not be the actual sender.
Cela ressemble à un problème de délégation de boite. Qqn a du déléguer un accès en lecture (ou écriture) à tout ou partie d'une boite exchange (courriers, calendrier...)
-----Message d'origine----- De : David Ponzone david.ponzone@gmail.com Envoyé : vendredi 11 février 2022 14:52 À : Vincent Duvernet vincent.duvernet@nolme.com Cc : frsag@frsag.org Objet : [FRsAG] Re: Faille critique sur Exchange 2016 chez OVH
Hmm c’est un Exchange hébergé chez OVH par le client, ou c’est LE service Exchange d’OVH ?
_______________________________________________ Liste de diffusion du %(real_name)s https://eur02.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frsag.o... _______________________________________________ Liste de diffusion du %(real_name)s https://eur02.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frsag.o...
-
Christophe Grenier -
David Ponzone -
Pierre DUMAY -
Vincent Duvernet