C# - Outllook Access - Bug de Seguridad
Les vengo con algo que considero muy interesante, hace un tiempo que se me encomendó la ardua tarea de enviar mails con .net teniendo estos mails el permiso "Do not forward" activado y durante esta investigación me encontré con la gran sorpresa de que si usamos el PIA de Outlook para enviar mails este programa puede acceder a los datos del Outlook sin que le salte al usuario un solo cartel avisándole que un programa externo esta accediendo a sus datos. Consultado a algunos compañero (Ninguno experto en seguridad) me dijeron que este no es un error. A lo que a mi me respecta para mi si es un gravisimo error ya que tranquilamente yo podría construir un programa que se conectara a mi servidor para recibir ordenes desde el mismo, haciendo que este actúe como un zombie enviando mails a nombre del propietario a mi antojo y si no queremos parar ahí, podemos acceder a todos los mails que el atacado fue enviando, a toda su lista de contactos, a los mails recibidos en fin a todos sus datos. Prácticamente podríamos suplantar la identidad de esta persona. Y si llevamos esta situación a un ambiente corporativo esto es muy peligroso dependiendo de la jerarquía del atacado.
Debajo les dejo un código de concepto que hice en donde se abre una consola pidiendo el mail a donde se enviara el mail generado. Por el momento la única pre condición, es que se tenga Outlook instalado y configurado por lo menos con una cuenta (Recuerden que el Outlook puede tener varios cuentas instaladas -Cuentas empresariales - hotmail- gmail- yahoo- etc...)
Debajo les dejo un código de concepto que hice en donde se abre una consola pidiendo el mail a donde se enviara el mail generado. Por el momento la única pre condición, es que se tenga Outlook instalado y configurado por lo menos con una cuenta (Recuerden que el Outlook puede tener varios cuentas instaladas -Cuentas empresariales - hotmail- gmail- yahoo- etc...)
Comentarios
Publicar un comentario