Der nächste Exchange-GAU:
Autodiscover ermöglicht Zugriff auf Daten
Sicherheitsforscher haben einen Designfehler in einer Funktion des Microsoft Exchange-Servers entdeckt, der dazu missbraucht werden kann, Windows-Domänen- und Anwendungsanmeldeinformationen von Nutzern zu sammeln. Microsoft prüft nun den Fall.
Der von der Sicherheitsfirma Guardicore entdeckte Fehler befindet sich im Microsoft Autodiscover-Protokoll. Das ist eine Funktion der Exchange-E-Mail-Server, die es den E-Mail-Clients ermöglicht, E-Mail-Server automatisch zu erkennen, Anmeldedaten zu übermitteln und dann die richtigen Konfigurationen zu erhalten. Nun besteht aber ein Bug oder besser gesagt ein sogenannter Designfehler in Autodiscover, der dazu verwendet werden kann, Anmeldeinformationen an Unbefugte weiterzugeben.
Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im Internet
Das Problem ist nun, dass dieser Autodiscovery-Mechanismus ein "Back-off"-Verfahren verwendet, falls er den Autodiscover-Endpunkt des Exchange-Servers nicht beim ersten Versuch findet. Dieser "Back-Off"-Mechanismus ist der Übeltäter des Lecks. Guardicore hat nun Honeypots auf Servern laufen gelassen, um das Ausmaß des Problems zu verstehen.
Mehr als vier Monate lang, von April bis August 2021, erhielten die Server laut Guardicore dann Hunderte von Anfragen mit Tausenden von Anmeldedaten von Benutzern, die versuchten, ihre E-Mail-Clients einzurichten, deren E-Mail-Clients jedoch den richtigen Autodiscover-Endpunkt ihres Arbeitgebers nicht finden konnten. "Das interessante Problem bei einem großen Teil der Anfragen, die wir erhalten haben, war, dass auf der Client-Seite kein Versuch unternommen wurde, zu überprüfen, ob die Ressource verfügbar ist oder überhaupt auf dem Server existiert, bevor eine authentifizierte Anfrage gesendet wurde", erklärt Guardicore in dem nun veröffentlichten Bericht.
"Guardicore hat 372.072 Windows-Domänen-Anmeldedaten und 96.671 eindeutige Anmeldedaten aus verschiedenen Anwendungen wie Microsoft Outlook erfasst", so der Forscher weiter.
Auf Nachfrage von The Record äußerte sich Microsoft bereits zu den Erkenntnissen von Guardicore: "Wir untersuchen das Problem aktiv und werden geeignete Maßnahmen zum Schutz unserer Kunden ergreifen. Wir haben uns der koordinierten Offenlegung von Schwachstellen verschrieben, einem branchenüblichen, kooperativen Ansatz, der unnötige Risiken für Kunden reduziert, bevor Probleme öffentlich gemacht werden. Leider wurde uns dieses Problem nicht gemeldet, bevor das Marketingteam des Forschers es den Medien präsentierte, so dass wir erst heute von den Behauptungen erfahren haben."
Download RogueKiller - Malware aufspüren & entfernen Download Malwarebytes Premium, Schutz vor Schadsoftware Siehe auch:
Vereinfachung birgt das Risiko
Wie das ganze funktioniert und wo das Problem dabei liegt, erklären die Sicherheitsforscher: Das Protokoll ist ein wichtiger Bestandteil von Exchange-E-Mail-Servern, da es Administratoren eine einfache Möglichkeit bietet, sicherzustellen, dass Clients die richtigen SMTP-, IMAP-, LDAP-, WebDAV- und andere Einstellungen verwenden. Um diese automatischen Konfigurationen zu erhalten, pingen E-Mail-Clients in der Regel eine Reihe vorgegebener URLs an, die von der E-Mail-Adressdomäne des Benutzers abgeleitet sind:- https://autodiscover.example.com/autodiscover/autodiscover.xml
- http://autodiscover.example.com/autodiscover/autodiscover.xml
- https://example.com/autodiscover/autodiscover.xml
- http://example.com/autodiscover/autodiscover.xml
Das Problem ist nun, dass dieser Autodiscovery-Mechanismus ein "Back-off"-Verfahren verwendet, falls er den Autodiscover-Endpunkt des Exchange-Servers nicht beim ersten Versuch findet. Dieser "Back-Off"-Mechanismus ist der Übeltäter des Lecks. Guardicore hat nun Honeypots auf Servern laufen gelassen, um das Ausmaß des Problems zu verstehen.
Mehr als vier Monate lang, von April bis August 2021, erhielten die Server laut Guardicore dann Hunderte von Anfragen mit Tausenden von Anmeldedaten von Benutzern, die versuchten, ihre E-Mail-Clients einzurichten, deren E-Mail-Clients jedoch den richtigen Autodiscover-Endpunkt ihres Arbeitgebers nicht finden konnten. "Das interessante Problem bei einem großen Teil der Anfragen, die wir erhalten haben, war, dass auf der Client-Seite kein Versuch unternommen wurde, zu überprüfen, ob die Ressource verfügbar ist oder überhaupt auf dem Server existiert, bevor eine authentifizierte Anfrage gesendet wurde", erklärt Guardicore in dem nun veröffentlichten Bericht.
"Guardicore hat 372.072 Windows-Domänen-Anmeldedaten und 96.671 eindeutige Anmeldedaten aus verschiedenen Anwendungen wie Microsoft Outlook erfasst", so der Forscher weiter.
Auf Nachfrage von The Record äußerte sich Microsoft bereits zu den Erkenntnissen von Guardicore: "Wir untersuchen das Problem aktiv und werden geeignete Maßnahmen zum Schutz unserer Kunden ergreifen. Wir haben uns der koordinierten Offenlegung von Schwachstellen verschrieben, einem branchenüblichen, kooperativen Ansatz, der unnötige Risiken für Kunden reduziert, bevor Probleme öffentlich gemacht werden. Leider wurde uns dieses Problem nicht gemeldet, bevor das Marketingteam des Forschers es den Medien präsentierte, so dass wir erst heute von den Behauptungen erfahren haben."
Download RogueKiller - Malware aufspüren & entfernen Download Malwarebytes Premium, Schutz vor Schadsoftware Siehe auch:
- Exchange-Querdenker? - Zehntausende Systeme bleiben angreifbar
- Exchange-Exploit: Microsoft untersucht, wie Hacker an den Code kamen
- Microsofts MSRC-Team stellt Notfall-Tool für Exchange bereit
- Kritik an Microsoft: Hat der Konzern Exchange-Lücke lang verheimlicht?
- Angriff auf Microsoft Exchange entwickelt sich zur globalen Krise
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Office-Pakete:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen