{"id":257861,"date":"2021-09-22T16:13:20","date_gmt":"2021-09-22T14:13:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257861"},"modified":"2022-07-27T10:43:14","modified_gmt":"2022-07-27T08:43:14","slug":"microsoft-exchange-autodiscover-designfehler-ermglicht-abgriff-von-zugangsdaten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/22\/microsoft-exchange-autodiscover-designfehler-ermglicht-abgriff-von-zugangsdaten\/","title":{"rendered":"Microsoft Exchange Autodiscover-Designfehler erm&ouml;glicht Abgriff von Zugangsdaten"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/09\/23\/microsoft-exchange-autodiscover-designfehler-ermglicht-abgriff-von-zugangsdaten\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsforscher von Guardicore sind auf einen Designfehler im von Microsoft Exchange benutzten Autodiscover-Protokoll gesto\u00dfen, der es Angreifern erm\u00f6glicht, \u00fcber externe Autodiscover-Domains die Anmeldedaten von Domains abzugreifen. M\u00f6glich wird dies, weil sich Autodiscover-Domains au\u00dferhalb der Dom\u00e4ne des Nutzers (aber noch in derselben TLD) missbrauchen lassen. Hier einige Hinweise zu diesem Sachverhalt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/d1d18883df0940da971a28475a741dd2\" alt=\"\" width=\"1\" height=\"1\" \/>Sicherheitsforscher Amit Serper vom Sicherheitsanbieter Guardicore hat seine neuen Erkenntnisse im Blog-Beitrag Autodiscovering the Great Leak ver\u00f6ffentlicht. Ich bin \u00fcber nachfolgenden <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1440662780386762753\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf das Thema aufmerksam geworden.<\/p>\n<p><a href=\"https:\/\/twitter.com\/campuscodi\/status\/1440662780386762753\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Exchange Autodiscover design flaw\" src=\"https:\/\/i.imgur.com\/yjBMsGS.png\" alt=\"Exchange Autodiscover design flaw\" \/><\/a><\/p>\n<h2>Autodiscover in Exchange<\/h2>\n<p>Autodiscover ist ein von Microsoft Exchange verwendetes Protokoll zur automatischen Konfiguration der f\u00fcr E-Mail-Konten von Clients wie Microsoft Outlook. Ziel des Protokolls ist es, dass ein Endbenutzer seinen Outlook-Client vollst\u00e4ndig konfigurieren kann, indem er lediglich seinen Benutzernamen (die E-Mail-Adresse) und sein Kennwort angibt und den Rest der Konfiguration dem Autodiscover-Protokoll von Microsoft Exchange \u00fcberl\u00e4sst.<\/p>\n<p>Beim Einrichten des Zugangs f\u00fcr ein Microsoft Exchange-Postfach schickt die Mail-App die Zugangsdaten (Benutzername bzw. E-Mail-Adresse, Kennwort) an den Server, und bekommt dann die g\u00fcltige Konfiguration f\u00fcr den Zugriff zur\u00fcckgemeldet. Mit diesen Daten wird der Client dann f\u00fcr den betreffenden Exchange Server-Zugang eingerichtet.<\/p>\n<p>Das Protokoll wurde bereits in Outlook 2007 eingef\u00fchrt. Die Grundlagen wurden z.B. von Frank Carius auf msxfaq.de in <a href=\"https:\/\/www.msxfaq.de\/exchange\/autodiscover\/autodiscover_grundlagen.htm\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> beschrieben. In <a href=\"https:\/\/www.msxfaq.de\/exchange\/autodiscover\/autodiscover_outlook.htm\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> geht er auf die Autokonfiguration in Outlook ein. Eine englischsprachige Kurzdarstellung findet sich <a href=\"https:\/\/searchwindowsserver.techtarget.com\/definition\/Exchange-Autodiscover-service\" target=\"_blank\" rel=\"noopener\">hier<\/a> und Microsoft hat die Implementierung von Autodiscover <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/3211279\/outlook-2016-implementation-of-autodiscover\" target=\"_blank\" rel=\"noopener\">hier beschrieben<\/a>.<\/p>\n<blockquote><p>Anmerkung: Oft werden Anmeldedaten f\u00fcr ein Exchange-basierten Posteingang auch als Dom\u00e4nen-Anmeldedaten verwendet. Gelingt es einem Angreifer, die Anmeldedaten f\u00fcr ein Exchange-Postfach \u00fcber eine Sicherheitsl\u00fccke abzuziehen, hat er in Folge auch Zugriff auf die Domain der Organisation. Der Angreifer verf\u00fcgt dann \u00fcber g\u00fcltige Anmeldedaten, mit er sich Zugang zur IT eines Unternehmens verschaffen kann.<\/p><\/blockquote>\n<h2>Der Autodiscover-Protokoll Designfehler<\/h2>\n<p>Beim Einrichten eines Exchange-Postfach-Zugangs in einer Mail-App (Client) schickt diese einen Ping mit den Anmeldedaten des Postfachs (Benutzername, Kennwort) an verschiedene Adressen der Art:<\/p>\n<ul>\n<li>https: \/\/ Autodiscover.example.com\/Autodiscover\/Autodiscover.xml<\/li>\n<li>http: \/\/ Autodiscover.example.com\/Autodiscover\/Autodiscover.xml<\/li>\n<li>https: \/\/ example.com\/Autodiscover\/Autodiscover.xml<\/li>\n<li>http: \/\/ example.com\/Autodiscover\/Autodiscover.xml<\/li>\n<\/ul>\n<p>Die Domain <em>example.com<\/em> wird dabei aus der f\u00fcr das Exchange-Postfach angegebenen E-Mail-Adresse <em>@example.com<\/em> ermittelt. Antwortet keine dieser URLs, startet Autodiscover sein \"Back-off\"-Verfahren.<\/p>\n<p>Dieser im Protokoll vorgesehene \"Back-off\"-Mechanismus versucht im Client, den Autodiscover-Teil der Dom\u00e4ne aufzul\u00f6sen und w\u00fcrde im n\u00e4chsten Versuch eine URL der Art:<\/p>\n<p>http: \/\/ autodiscover.com\/Autodiscover\/Autodiscover.xml<\/p>\n<p>anfragen. Die Domain besteht dabei aus dem Namen <em>autodiscover <\/em>und der Top-Level-Domain des zu konfigurierenden Postfachs (.com, .de, .fr etc.). Der Designfehler in Exchange-Autodiscover liegt nun darin, dass die Pings des Clients nicht auf die Domain des abzupr\u00fcfenden Postfachs (z.B. <em>borncity.com<\/em>) begrenzt werden. Vielmehr sind verschiedene Top-Level-Domains f\u00fcr autodiscover denkbar.<\/p>\n<p>Gelingt es einem Dritten, die Domain <em>autodiscover.com<\/em>, <em>autodiscover.de<\/em> etc. zu registrieren, w\u00fcrden die Anfragen mit den Zugangsdaten per Ping an diese Domain gehen. Die Sicherheitsforscher waren in der Lage, sich die folgendem Domains zu greifen und zu registrieren:<\/p>\n<ul>\n<li>Autodiscover.com.br \u2013 Brazil<\/li>\n<li>Autodiscover.com.cn \u2013 China<\/li>\n<li>Autodiscover.com.co \u2013 Columbia<\/li>\n<li>Autodiscover.es \u2013 Spain<\/li>\n<li>Autodiscover.fr \u2013 France<\/li>\n<li>Autodiscover.in \u2013 India<\/li>\n<li>Autodiscover.it \u2013 Italy<\/li>\n<li>Autodiscover.sg \u2013 Singapore<\/li>\n<li>Autodiscover.uk \u2013 United Kingdom<\/li>\n<li>Autodiscover.xyz<\/li>\n<li>Autodiscover.online<\/li>\n<\/ul>\n<p>Die so registrierten Domains wurden einem von den Guardicore Sicherheitsforschern kontrollierten Webserver zugewiesen. Dann warteten die Sicherheitsforscher darauf, dass Webanfragen f\u00fcr verschiedene Autodiscover-Endpunkte eintrafen. Zur \u00dcberraschung stellten die Guadicore-Leute fest, dass eine betr\u00e4chtliche Anzahl von Anfragen von verschiedenen Dom\u00e4nen, IP-Adressen und Clients an die kontrollierten Autodiscover-Endpunkte einging. Das Bemerkenswerteste an diesen Anfragen war, dass sie den relativen Pfad \/Autodiscover\/Autodiscover.xml mit dem Authorisierungs-Header anforderten. Und dort steckten die Anmeldeinformationen f\u00fcr die HTTP-Basisauthentifizierung.<\/p>\n<p><img decoding=\"async\" title=\"Authorisierungs-Header\" src=\"https:\/\/i.imgur.com\/atIMzlR.png\" alt=\"Authorisierungs-Header\" \/><\/p>\n<p>Erschreckend war bei einer gro\u00dfen Anzahl der Anfragen, dass der keinen Versuch unternahm, erst zu pr\u00fcfen, ob die Ressource \u00fcberhaupt verf\u00fcgbar ist oder \u00fcberhaupt auf dem Server existiert (l\u00f6st einen HTTP 404-Fehler aus). Vielmehr wurden die Anmeldedaten gleich bei der ersten Anfrage mitgeschickt.<\/p>\n<p>Vom 16. April bis 25. August 2021 erhielten die Sicherheitsforscher mit ihrem Autodiscover-Honeypot Hunderte von Anfragen mit Tausenden von Anmeldedaten von Benutzern, die versuchten, ihre E-Mail-Clients einzurichten, aber ihre E-Mail-Clients konnten den richtigen Autodiscover-Endpunkt des Exchange-Postfachs nicht finden. Betroffenen waren Unternehmen und Organisationen aus unterschiedlichen Bereichen. Dabei waren nicht nur Anmeldedaten im Klartext, sondern auch OAuth-Tokens.<\/p>\n<p>Auch die Warnung vor selbst-signierten Zertifikaten, die am Client eventuell auftauchen kann, lie\u00df sich mit einem LetsEncrypt-Zertifikat unterdr\u00fccken. Die Details hat der Sicherheitsforscher in diesem Blog-Beitrag zusammen gefasst. Dort gibt er auch Hinweise, wie das Problem abgemildert werden k\u00f6nnte.<\/p>\n<ul>\n<li>Wer Exchange-basierte Technologien wie Outlook oder ActiveSync (Microsofts mobiles Exchange-Synchronisationsprotokoll) verwendet, muss sicherstellen, dass Autodiscover-Dom\u00e4nen (wie Autodiscover.com\/Autodiscover.com.cn usw.) aktiv in einer Firewall blockiert werden.<\/li>\n<li>Bei der Bereitstellung\/Konfiguration von Exchange-Setups ist sicherzustellen, dass die Unterst\u00fctzung f\u00fcr die Basisauthentifizierung deaktiviert ist. Die Verwendung der HTTP-Basisauthentifizierung ist dasselbe wie das Senden eines Kennworts im Klartext \u00fcber die Leitung.<\/li>\n<\/ul>\n<p>Weiterhin m\u00fcssen Softwareentwicklern\/-anbietern, die das Autodiscover-Protokoll in ihre Produkte implementieren, das Ganze so umsetzen, dass die Anmeldedaten nicht bereits bei der ersten Anfrage mitgesendet werden. Und Microsoft m\u00fcsste die Anforderungen an das Autodiscover-Protokoll \u00fcberarbeiten.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Bez\u00fcglich der folgenden Kommentare hat mich gewundert, dass aus dem Text nicht klar ersichtlich war, dass der Fehler nicht in Exchange zu suchen ist, sondern dass ein Design-Fehler im Autodiscover-Protokoll vorliegt und die Clients dann die Zugangsdaten verraten. Frank Carius hat sich des Themas angenommen und in <a href=\"https:\/\/www.msxfaq.de\/exchange\/autodiscover\/autodiscover_sicherheit.htm\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> einen Abriss samt Risiko-Einsch\u00e4tzung abgegeben. Man kann das Ganze auf zwei S\u00e4tze reduzieren: <em>Bei den meisten Exchange-Installationen, die sauber aufgesetzt sind, passiert nicht viel. Aber der Teufel liegt wie immer im Detail.<\/em> Denn es ist glaubhaft, dass Guadicore auf seinen Honeypot Autodiscover-Domains Anfragen mit Zugangsdaten erhielt.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Microsoft hat damit begonnen, die autodiscover-Domains auf sich zu registrieren, siehe \u00a0<a href=\"https:\/\/borncity.com\/blog\/2021\/09\/25\/microsoft-versucht-autodiscover-domains-zu-registrieren\/\" rel=\"noopener noreferrer\" link=\"internal\">Microsoft versucht Autodiscover-Domains zu registrieren<\/a> .<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/12\/10\/office365-update-ndert-autodiscover-outlook-anmeldung-scheitert\/\">Office365: Update \u00e4ndert Autodiscover, Outlook-Anmeldung scheitert<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/30\/exchange-server-authentifizierungs-bypass-mit-proxytoken\/\">Exchange Server: Authentifizierungs-Bypass mit ProxyToken<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/05\/exchange-probleme-mit-ecp-nach-sicherheitsupdate-mrz-2021\/\">Exchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/17\/exchange-sicherheitsupdates-von-juli-2021-zerschieen-ecp-und-owa\/\">Exchange Sicherheitsupdates von Juli 2021 zerschie\u00dfen ECP und OWA<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/13\/exchange-2016-2019-outlook-probleme-durch-amsi-integration\/\">Exchange 2016\/2019: Outlook-Probleme durch AMSI-Integration<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/22\/angriffswelle-fast-2-000-exchange-server-ber-proxyshell-gehackt\/\">Angriffswelle, fast 2.000 Exchange-Server \u00fcber ProxyShell gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/28\/exchange-server-2016-2019-benutzerdefinierte-attribute-in-ecp-nach-cu-installation-juli-2021-nicht-mehr-aktualisierbar\/\">Exchange Server 2016-2019: Benutzerdefinierte Attribute in ECP nach CU-Installation (Juli 2021) nicht mehr aktualisierbar<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/08\/07\/exchange-schwachstellen-droht-hafnium-ii\/\">Exchange-Schwachstellen: Droht Hafnium II?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher von Guardicore sind auf einen Designfehler im von Microsoft Exchange benutzten Autodiscover-Protokoll gesto\u00dfen, der es Angreifern erm\u00f6glicht, \u00fcber externe Autodiscover-Domains die Anmeldedaten von Domains abzugreifen. M\u00f6glich wird dies, weil sich Autodiscover-Domains au\u00dferhalb der Dom\u00e4ne des Nutzers (aber noch in &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/09\/22\/microsoft-exchange-autodiscover-designfehler-ermglicht-abgriff-von-zugangsdaten\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[5359,4328],"class_list":["post-257861","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257861","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257861"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257861\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257861"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257861"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257861"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}