Glop, glop
On est vendredi mais ce n'est pas un 'trollDi. Asseyez-vous bien, ça va décoiffer d'(in)sécurité.
Un copain dans l'IT vient de m'appeler par rapport à un gros groupe français. Ils utilisent un Exchange 2016 chez OVH (quelle idée mais bon, soit).
Voici les étapes qu'il a réalisées devant moi :
- Lancer Outlook - Ajouter un compte Exchange du domaine du client (pour le coup, un compte utilisé uniquement pour les notifs des infra du client). - On ferme Outlook (oui parce que chez Microsoft, on est trop con pour ajouter le compte directement dans l'interface) - Du coup, on relance Outlook - On voit que le compte a bien été ajouté (whoua super) - On attend quelques secondes (parce qu'on n'a pas la fibre) - et LA, pouf, pouf, magie du direct, Outlook ajoute TOUS les comptes du domaine du client sans avoir à saisir le moindre mot de passe. Les boites de réception, tout est accessible.
Voilà comment ByPasser la sécurité chez Microsoft + OVH (parce que c'est forcément la faute de l'un et/ou de l'autre puisque dans l'interface web d'OVH, on a vraiment accès à que dalle.
Est-ce que quelqu'un a déjà entendu parler d'un tel bug ?
(allez les pingouins, là vous pouvez vous marrer parce que franchement, même moi là...)
Vincent
Hmm c’est un Exchange hébergé chez OVH par le client, ou c’est LE service Exchange d’OVH ?
Le 11 févr. 2022 à 14:45, Vincent Duvernet vincent.duvernet@nolme.com a écrit :
Glop, glop
On est vendredi mais ce n'est pas un 'trollDi. Asseyez-vous bien, ça va décoiffer d'(in)sécurité.
Un copain dans l'IT vient de m'appeler par rapport à un gros groupe français. Ils utilisent un Exchange 2016 chez OVH (quelle idée mais bon, soit).
Cela ressemble à un problème de délégation de boite. Qqn a du déléguer un accès en lecture (ou écriture) à tout ou partie d'une boite exchange (courriers, calendrier...)
-----Message d'origine----- De : David Ponzone david.ponzone@gmail.com Envoyé : vendredi 11 février 2022 14:52 À : Vincent Duvernet vincent.duvernet@nolme.com Cc : frsag@frsag.org Objet : [FRsAG] Re: Faille critique sur Exchange 2016 chez OVH
Hmm c’est un Exchange hébergé chez OVH par le client, ou c’est LE service Exchange d’OVH ?
Le 11 févr. 2022 à 14:45, Vincent Duvernet vincent.duvernet@nolme.com a écrit :
Glop, glop
On est vendredi mais ce n'est pas un 'trollDi. Asseyez-vous bien, ça va décoiffer d'(in)sécurité.
Un copain dans l'IT vient de m'appeler par rapport à un gros groupe français. Ils utilisent un Exchange 2016 chez OVH (quelle idée mais bon, soit).
_______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Hello,
En effet, ça ressemble à ça ! On peut e arriver à des configuration aberrante si on ne fait pas bien attention !
----------------------------------- Pierre DUMAY 06 62 76 29 27
-----Original Message----- From: Christophe Grenier cgrenier@globalsp.com Sent: vendredi 11 février 2022 14:56 To: David Ponzone david.ponzone@gmail.com; Vincent Duvernet vincent.duvernet@nolme.com Cc: frsag@frsag.org Subject: [FRsAG] Re: Faille critique sur Exchange 2016 chez OVH
Warning: The sender of this message could not be validated, and may not be the actual sender.
Cela ressemble à un problème de délégation de boite. Qqn a du déléguer un accès en lecture (ou écriture) à tout ou partie d'une boite exchange (courriers, calendrier...)
-----Message d'origine----- De : David Ponzone david.ponzone@gmail.com Envoyé : vendredi 11 février 2022 14:52 À : Vincent Duvernet vincent.duvernet@nolme.com Cc : frsag@frsag.org Objet : [FRsAG] Re: Faille critique sur Exchange 2016 chez OVH
Hmm c’est un Exchange hébergé chez OVH par le client, ou c’est LE service Exchange d’OVH ?
Le 11 févr. 2022 à 14:45, Vincent Duvernet vincent.duvernet@nolme.com a écrit :
Glop, glop
On est vendredi mais ce n'est pas un 'trollDi. Asseyez-vous bien, ça va décoiffer d'(in)sécurité.
Un copain dans l'IT vient de m'appeler par rapport à un gros groupe français. Ils utilisent un Exchange 2016 chez OVH (quelle idée mais bon, soit).
_______________________________________________ Liste de diffusion du %(real_name)s https://eur02.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frsag.o... _______________________________________________ Liste de diffusion du %(real_name)s https://eur02.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frsag.o...
-
Christophe Grenier -
David Ponzone -
Pierre DUMAY -
Vincent Duvernet