Grave falla scoperta in Microsoft Autodiscover

Autodiscover, un protocollo usato da Microsoft Exchange per la configurazione automatica di client come Microsoft Outlook, ha un difetto di progettazione che fa sì che il protocollo "perda" richieste web ai domini Autodiscover al di fuori del dominio dell'utente ma nello stesso TLD (cioè Autodiscover.com).
Si tratta di un grave problema di sicurezza, poiché se un aggressore può controllare tali domini o ha la capacità di "sniffare" il traffico nella stessa rete, può catturare le credenziali in chiaro (autenticazione di base HTTP) durante il trasferimento.

Fonti:
https://www.guardicore.com/labs/autodiscovering-the-great-leak/

https://therecord.media/microsoft-exchange-autodiscover-bug-leaks-hundreds-of-thousands-of-domain-credentials/