Vigil@nce - Skype for Business : obtention d’information via le temps de réponse
août 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce :https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut mesurer le temps de réponse de
l’authentification Web de Skype for Business, afin d’obtenir les
noms de compte d’utilisateur.
Produits concernés : Skype for Business.
Gravité : 2/4.
Date création : 17/06/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Skype for Business dispose d’une interface web et peut
utiliser une annuaire privé comme base de comptes.
Cependant, le temps de réponse de l’interface Web pour
l’authentification des utilisateurs dépend de la validité du nom
d’utilisateur. Un attaquant devinant des valeurs plausibles des
noms d’utilisateurs peut donc les vérifier sans avoir accès à
l’annuaire. Dans le cas d’un annuaire de type Active Directory de
Windows, cela donne des noms de comptes système et
éventuellement de messagerie.
Un attaquant peut donc mesurer le temps de réponse de
l’authentification Web de Skype for Business, afin d’obtenir les
noms de compte d’utilisateur.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET