Der nächste Exchange-GAU: Autodiscover ermöglicht Zugriff auf Daten

Sicherheitsforscher haben einen Designfehler in einer Funktion des Microsoft Exchange-Servers entdeckt, der dazu missbraucht werden kann, Windows-Domänen- und Anwendungsanmeldeinformationen von Nutzern zu sammeln. Microsoft prüft nun den Fall. Der von der Sicherheitsfirma Guardicore entdeckte Fehler befindet sich im Microsoft Autodiscover-Protokoll. Das ist eine Funktion der Exchange-E-Mail-Server, die es den E-Mail-Clients ermöglicht, E-Mail-Server automatisch zu erkennen, Anmeldedaten zu übermitteln und dann die richtigen Konfigurationen zu erhalten. Nun besteht aber ein Bug oder besser gesagt ein sogenannter Designfehler in Autodiscover, der dazu verwendet werden kann, Anmeldeinformationen an Unbefugte weiterzugeben. Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im InternetOft gehört - nie genutzt: Schutzmaßnahmen im Internet

Vereinfachung birgt das Risiko

Wie das ganze funktioniert und wo das Problem dabei liegt, erklären die Sicherheitsforscher: Das Protokoll ist ein wichtiger Bestandteil von Exchange-E-Mail-Servern, da es Administratoren eine einfache Möglichkeit bietet, sicherzustellen, dass Clients die richtigen SMTP-, IMAP-, LDAP-, WebDAV- und andere Einstellungen verwenden. Um diese automatischen Konfigurationen zu erhalten, pingen E-Mail-Clients in der Regel eine Reihe vorgegebener URLs an, die von der E-Mail-Adressdomäne des Benutzers abgeleitet sind:

  • https://autodiscover.example.com/autodiscover/autodiscover.xml
  • http://autodiscover.example.com/autodiscover/autodiscover.xml
  • https://example.com/autodiscover/autodiscover.xml
  • http://example.com/autodiscover/autodiscover.xml

Das Problem ist nun, dass dieser Autodiscovery-Mechanismus ein "Back-off"-Verfahren verwendet, falls er den Autodiscover-Endpunkt des Exchange-Servers nicht beim ersten Versuch findet. Dieser "Back-Off"-Mechanismus ist der Übeltäter des Lecks. Guardicore hat nun Honeypots auf Servern laufen gelassen, um das Ausmaß des Problems zu verstehen.

Mehr als vier Monate lang, von April bis August 2021, erhielten die Server laut Guardicore dann Hunderte von Anfragen mit Tausenden von Anmeldedaten von Benutzern, die versuchten, ihre E-Mail-Clients einzurichten, deren E-Mail-Clients jedoch den richtigen Autodiscover-Endpunkt ihres Arbeitgebers nicht finden konnten. "Das interessante Problem bei einem großen Teil der Anfragen, die wir erhalten haben, war, dass auf der Client-Seite kein Versuch unternommen wurde, zu überprüfen, ob die Ressource verfügbar ist oder überhaupt auf dem Server existiert, bevor eine authentifizierte Anfrage gesendet wurde", erklärt Guardicore in dem nun veröffentlichten Bericht.

"Guardicore hat 372.072 Windows-Domänen-Anmeldedaten und 96.671 eindeutige Anmeldedaten aus verschiedenen Anwendungen wie Microsoft Outlook erfasst", so der Forscher weiter.

Auf Nachfrage von The Record äußerte sich Microsoft bereits zu den Erkenntnissen von Guardicore: "Wir untersuchen das Problem aktiv und werden geeignete Maßnahmen zum Schutz unserer Kunden ergreifen. Wir haben uns der koordinierten Offenlegung von Schwachstellen verschrieben, einem branchenüblichen, kooperativen Ansatz, der unnötige Risiken für Kunden reduziert, bevor Probleme öffentlich gemacht werden. Leider wurde uns dieses Problem nicht gemeldet, bevor das Marketingteam des Forschers es den Medien präsentierte, so dass wir erst heute von den Behauptungen erfahren haben."

Download RogueKiller - Malware aufspüren & entfernen Download Malwarebytes Premium, Schutz vor Schadsoftware Siehe auch: Microsoft, Cloud, E-Mail, Office 365, microsoft 365, Exchange, Cloud Computing, Exchange Server, Microsoft 365 Business, Microsoft Cloud, Microsoft 365 für Unternehmen, Microsoft Exchange, Exchange online, Mailserver, Exchange Logo, Microsoft Exchange Online, Microsoft Exchange Online Logo, E-Mail Server, Cloud Hosting Microsoft, Cloud, E-Mail, Office 365, microsoft 365, Exchange, Cloud Computing, Exchange Server, Microsoft 365 Business, Microsoft Cloud, Microsoft 365 für Unternehmen, Microsoft Exchange, Exchange online, Mailserver, Exchange Logo, Microsoft Exchange Online, Microsoft Exchange Online Logo, E-Mail Server, Cloud Hosting
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 06:10 Uhr OneOdio Over Ear Kopfhörer mit Kabel, HiFi Studiokopfhörer mit Hi-Res, 50mm Treiber, Share-Port, Große Ohrmuscheln, 6,35 & 3,5mm Klinke, Geschlossene DJ Headphones für Podcast, Handy, PC (Pro 50)OneOdio Over Ear Kopfhörer mit Kabel, HiFi Studiokopfhörer mit Hi-Res, 50mm Treiber, Share-Port, Große Ohrmuscheln, 6,35 & 3,5mm Klinke, Geschlossene DJ Headphones für Podcast, Handy, PC (Pro 50)
Original Amazon-Preis
46,99
Im Preisvergleich ab
?
Blitzangebot-Preis
39,94
Ersparnis zu Amazon 15% oder 7,05
Nur bei Amazon erhältlich

Video-Empfehlungen

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Affiliate-Links, um WinFuture zu unterstützen: Vielen Dank!