C# - Outllook Access - Bug de Seguridad

Les vengo con algo que considero muy interesante, hace un tiempo que se me encomendó la ardua tarea de enviar mails con .net teniendo estos mails el permiso "Do not forward" activado y durante esta investigación me encontré con la gran sorpresa de que si usamos el PIA de Outlook para enviar mails este programa puede acceder a los datos del Outlook sin que le salte al usuario un solo cartel avisándole que un programa externo esta accediendo a sus datos. Consultado a algunos compañero (Ninguno experto en seguridad) me dijeron que este no es un error. A lo que a mi me respecta para mi si es un gravisimo error ya que tranquilamente yo podría construir un programa que se conectara a mi servidor para recibir ordenes desde el mismo, haciendo que este actúe como un zombie enviando mails a nombre del propietario a mi antojo y si no queremos parar ahí, podemos acceder a todos los mails que el atacado fue enviando, a toda su lista de contactos, a los mails recibidos en fin a todos sus datos. Prácticamente podríamos suplantar la identidad de esta persona. Y si llevamos esta situación a un ambiente corporativo esto es muy peligroso dependiendo de la jerarquía del atacado.

Debajo les dejo un código de concepto que hice en donde se abre una consola pidiendo el mail a donde se enviara el mail generado. Por el momento la única pre condición, es que se tenga Outlook instalado y configurado por lo menos con una cuenta (Recuerden que el Outlook puede tener varios cuentas instaladas -Cuentas empresariales - hotmail- gmail- yahoo- etc...)

Comentarios

Publicar un comentario

Entradas más populares de este blog

ZonedDateTime & OffsetDateTime

Imagen
Hoy quiero compartirles algunas pruebas que realice con ZonedDateTime y OffsetDateTime. En primer lugar podemos decir que tenemos un "Instant" que representa un instante determinado de tiempo, luego tenemos un OffsetDateTime que representa un instante de tiempo con el agregado de que este tiene un offset aplicado, luego tenemos un ZonedDateTime que es un instante de tiempo con un Offset aplicado y con reglas de TimeZone (ZoneRules) para las conversiones de horario de verano y otras particularidades de cada TimeZone. Puede que tengan las dudas de cual debemos y cual no debemos usar ya que ambas son iguales a simple vista o parecidas pero a la realidad no lo son, por las particularidades ya mencione al principio. Por lo general para guardar fechas en cualquier medio de almacenamiento debemos usar el OffsetDateTime ya que este no pierde información al momento de almacenarse, cosa que si pasa cuando usamos el ZonedDateTime, ya que se pierden las ZoneRules al momento de persis
Leer más

Migración MongoDb 2.4 -> 2.6 -> 3.0 (con replicas)

Migración MongoDB 2.4 -> 2.6 -> 3.2 (con replicas) Este post pretende mostrar los pasos a seguir para la migración del mongoDB 2.4 a 3.2. ¿Por qué debemos migrar a 2.6 primero? En la versión 2.6 se cambia el modelo de datos para las credenciales de los usuarios, como así también se agregan nuevas herramientas de auditoria. En el proceso de migración a esta versión se realizan los cambios de modelos necesario y la verificación del buen funcionamiento de las nuevas herramientas. Estas verificaciones y cambios en versiones posteriores no se realiza. Migración de 2.4 a 2.6 Fuente de información para la migración: https://docs.mongodb.org/manual/release-notes/2.6-upgrade/ Lo primero que debemos hacer es descargarnos el mongoDb 2.6, esto es para usar su cliente y realizar por medio de este la migración. 64: https://fastdl.mongodb.org/linux/mongodb-linux-x86_64-2.6.11.tgz 32: https://fastdl.mongodb.org/linux/mongodb-linux-i686-2.6.11.tgz Para descargar los binarios pa
Leer más

Niveles de visión de los datos

Hoy les vengo a hablar de los distintos niveles de visión que tienen los datos, en una base de datos. Debido a que la interacción con las bases de datos se convirtió en una interacción muy compleja, por las estructuras de datos que cada vez se volvían mas y mas complejas, se comenzó a definir distintos niveles de abstracción para poder interactuar con la base de datos. Estos niveles con: Nivel de Vista: Esta corresponde al nivel mas alto de las capas de abstracción, en esta capa solo se muestra lo que se desea ver de la base de datos. Es posible generar varias vistas, cada una de ellas de diferentes partes de la base de datos. Nivel Lógico: En esta vista se describe la base de datos completa, indicando los datos y las relaciones entre las mismas, el resultado de la misma es una estructura simple que puede conducir a estructuras mas complejas en el nivel físico. Nivel Físico: Este es el nivel mas bajo de la abstracción, en el cual se describe como realmente se almacenan los
Leer más