Microsoft'un Autodiscover hizmeti, en az Şubat 2020'den beri, Uluslararası Numaralandırılmış Adres Yetkilisi (IANA) tarafından test ve dokümantasyon amaçlı ayrılmış olan example.com alan adını yanlışlıkla Sumitomo Electric Industries'in sei.co.jp adresindeki posta sunucularına yönlendiriyor. Bu durum, kullanıcıların Outlook'ta example.com uzantılı sahte e-posta hesapları kurmaya çalıştıklarında, test kimlik bilgilerinin veya diğer hassas verilerin yanlışlıkla üçüncü taraf sunucularına gönderilmesi riskini ortaya çıkarıyor.
Sorun, Outlook'ta (hem Windows hem de macOS üzerinde) email@example.com gibi bir deneme hesabı oluşturulurken fark edildi. Outlook, example.com'un gerçek hizmetlere yönlendirilmemesi gereken bir alan adı olmasına rağmen, hesabı sürekli olarak imapgms.jnet.sei.co.jp (IMAP) ve smtpgms.jnet.sei.co.jp (SMTP) sunucularını kullanacak şekilde otomatik olarak yapılandırdı. Bu davranış, farklı makinelerde, profillerde, ağlarda ve DNS çözümleyicilerinde, hatta yeni bir Windows 365 Cloud PC'de bile tekrarlandı.
Yapılan DNS sorguları, example.com için sei.co.jp adresine işaret eden herhangi bir MX, CNAME veya SRV kaydı olmadığını gösterdi. Bu, example.com'un null MX kaydına sahip olduğunu (e-posta kabul etmediğini) ve Autodiscover DNS girişlerinin bulunmadığını doğruladı. Sorunun tamamen Microsoft'un kendi Autodiscover hizmeti veritabanındaki yanlış yapılandırmadan kaynaklandığı, curl komutuyla Microsoft'un Autodiscover API'sine yapılan bir sorguyla da kesinleşti. Bu durum, Microsoft'un dahili sistemlerindeki bir hatanın, kullanıcı verilerini potansiyel olarak yanlış ellere yönlendirebileceği ciddi bir güvenlik zafiyetine işaret ediyor.
Microsoft'un Autodiscover hizmetindeki bu yanlış yapılandırma, kullanıcıların test amaçlı kullandığı kimlik bilgilerinin veya hassas verilerin yanlışlıkla üçüncü taraf sunucularına iletilmesine neden olabilir.