Selon Ars Technica, Microsoft a mis fin à une anomalie réseau où son service Autodiscover renvoyait, pour le domaine de test example.com (réservé par la RFC2606), des paramètres pointant vers des sous-domaines de Sumitomo Electric (sei.co.jp), au lieu de rester confinés à des adresses de l’IANA. Cette situation pouvait amener des utilisateurs à envoyer des identifiants de test en dehors des réseaux Microsoft lors de la configuration d’Outlook.

Des tests via cURL et l’ajout d’un compte test@example.com dans Outlook affichaient une réponse JSON proposant des serveurs externes: imapgms.jnet.sei.co.jp (IMAPS 993 SSL) et smtpgms.jnet.sei.co.jp (SMTPS 465 SSL). Le trafic anormal provenait du point de terminaison Microsoft d’autodétection et ne concernait que la fonction d’autoconfiguration d’Outlook.

Microsoft a indiqué avoir « mis à jour le service pour ne plus fournir d’informations de serveur suggérées pour example.com » et mène une enquête. Lundi matin, le comportement observé avait changé: plus de réponse JSON, la requête « pend » 10–20 secondes puis retourne HTTP 204 avec une erreur ENOTFOUND; un expert estime que Microsoft a possiblement retiré l’endpoint concerné. ⏳

Aucune intention malveillante n’apparaît dans ce routage, et l’impact restait limité aux personnes utilisant l’autoconfiguration d’Outlook (avec des identifiants de test). Des questions demeurent sur la manière dont ces enregistrements Autodiscover sont ajoutés, sur l’intentionnalité du routage et sur sa durée; Tinyapps.org évoque une persistance sur cinq ans. ⚠️

Contexte: Ars Technica rappelle qu’en 2024, un compte de test interne avait reçu par erreur des privilèges administrateur chez Microsoft, facilitant un accès initial exploité par des acteurs liés à la Russie pour consulter pendant deux mois les e-mails de dirigeants. Cet article de presse spécialisé vise à signaler une anomalie de configuration et à éclairer ses implications et zones d’ombre.

IOCs observables (techniques):

  • Domaines/hôtes: imapgms.jnet.sei.co.jp, smtpgms.jnet.sei.co.jp, prod.autodetect.outlook.cloud.microsoft, example.com
  • Chemin: /autodetect/detect?app=outlookdesktopBasic
  • Protocoles/ports: IMAPS 993 (SSL), SMTPS 465 (SSL)
  • Erreur: ENOTFOUND (réponse HTTP 204, délai 10–20s)

TTPs (déduites du comportement décrit):

  • Routage Autodiscover renvoyant des serveurs externes pour un domaine de test réservé
  • Envoi potentiel d’identifiants de test via l’autoconfiguration Outlook vers des hôtes tiers
  • Changement réactif côté service (suppression probable d’un endpoint d’évaluation/validation)

🔗 Source originale : https://arstechnica.com/information-technology/2026/01/odd-anomaly-caused-microsofts-network-to-mishandle-example-com-traffic/