Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - Skype for Business : obtention d’information via le temps de réponse

août 2016 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce :https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut mesurer le temps de réponse de
l’authentification Web de Skype for Business, afin d’obtenir les
noms de compte d’utilisateur.

Produits concernés : Skype for Business.

Gravité : 2/4.

Date création : 17/06/2016.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit Skype for Business dispose d’une interface web et peut
utiliser une annuaire privé comme base de comptes.

Cependant, le temps de réponse de l’interface Web pour
l’authentification des utilisateurs dépend de la validité du nom
d’utilisateur. Un attaquant devinant des valeurs plausibles des
noms d’utilisateurs peut donc les vérifier sans avoir accès à
l’annuaire. Dans le cas d’un annuaire de type Active Directory de
Windows, cela donne des noms de comptes système et
éventuellement de messagerie.

Un attaquant peut donc mesurer le temps de réponse de
l’authentification Web de Skype for Business, afin d’obtenir les
noms de compte d’utilisateur.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/Skype-for-Business-obtention-d-information-via-le-temps-de-reponse-19918


Voir les articles précédents

    

Voir les articles suivants