{"id":257919,"date":"2021-09-25T09:11:55","date_gmt":"2021-09-25T07:11:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257919"},"modified":"2022-07-27T10:43:11","modified_gmt":"2022-07-27T08:43:11","slug":"microsoft-versucht-autodiscover-domains-zu-registrieren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/25\/microsoft-versucht-autodiscover-domains-zu-registrieren\/","title":{"rendered":"Microsoft versucht Autodiscover-Domains zu registrieren"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Nachdem ein Designfehler in dem von Microsoft Exchange verwendeten Autodiscover-Protokoll bekannt wurde, versucht Microsoft jetzt auf die Schnelle alle Autodiscover-Domains zu registrieren. Denn Clients leaken \u00fcber das Autodiscover-Protokoll Zugangsdaten zu Exchange-Konten an solche Autodiscover-Domains, falls die eigentliche Domain nicht erreichbar ist. Hier einige Informationen zum Sachverhalt.<\/p>\n

<\/p>\n

Das Autodiscover-Problem<\/h2>\n

\"\"Autodiscover ist ein von Microsoft Exchange verwendetes Protokoll zur automatischen Konfiguration der f\u00fcr E-Mail-Konten von Clients wie Microsoft Outlook. Ziel des Protokolls ist es, dass ein Endbenutzer seinen Outlook-Client vollst\u00e4ndig konfigurieren kann, indem er lediglich seinen Benutzernamen (die E-Mail-Adresse) und sein Kennwort angibt und den Rest der Konfiguration dem Autodiscover-Protokoll von Microsoft Exchange \u00fcberl\u00e4sst.<\/p>\n

Sicherheitsforscher von Guardicore sind aber auf einen Designproblem in dem von Microsoft Exchange benutzten Autodiscover-Protokoll gesto\u00dfen, der es Angreifern erm\u00f6glicht, \u00fcber externe Autodiscover-Domains die Anmeldedaten von Domains abzugreifen. Problem ist, dass die Clients bei der Einrichtung eines Kontos einen Ping mit den Anmeldedaten (Benutzername, Kennwort, Domain) an verschiedene Adressen schicken.<\/p>\n

Normalerweise ist die abgefragte Domain, unter der der Exchange-Server betrieben wird. Diese wird aus der E-Mail-Adresse f\u00fcr das Exchange-Konto abgeleitet. Antwortet keine dieser URLs, startet Autodiscover sein \u201eBack-off\"-Verfahren und versucht einen Ping auf Adressen, die nach dem Schema:<\/p>\n

http: \/\/ autodiscover.<tld>\/Autodiscover\/Autodiscover.xml.<\/p>\n

gebildet werden. Bei einer E-Mail-Adresse <name>@<domain>.de<\/em> w\u00fcrde dann irgendwann autodiscover[.]de<\/em> angefragt. Wer diese Domain besitzt, k\u00f6nnte die Pings der Clients abfangen und auf Anmeldedaten f\u00fcr Konten pr\u00fcfen. Sicherheitsforscher von Guardicare haben sich auf Basis dieser Erkenntnisse eine Reihe autodiscover-TLD-Domains registriert – und in diesem Kommentar<\/a> behauptet jemand, die autodiscover[.]de <\/em>zu besitzen. Dann wurde ein AutoDiscover-Dienst unter den Domains aufgesetzt. Amit Serper vom Sicherheitsanbieter Guardicore hatte seine Erkenntnisse die Tage im Blog-Beitrag Autodiscovering the Great Leak ver\u00f6ffentlicht. Dort finden sich auch Hinweise, was man tun k\u00f6nnte (die M\u00f6glichkeiten sind aber begrenzt, da das Ganze die Clients betrifft).<\/p>\n

Frank Carius diskutiert in diesem Kommentar<\/a> den Ansatz, keine Domain der Art <name>[.]de f\u00fcr E-Mails und AD zu verwenden (was aber umstritten scheint). Hinweise, um eine bessere Authentifizierung f\u00fcr Outlook-Clients unter Windows zu erzwingen, finden sich in diesem Kommentar<\/a>.<\/p><\/blockquote>\n

\"Autodiscover-Abfragen
\nAutodiscover-Abfragen an Honeypot, Quelle: Guardicore<\/p>\n

Vom 16. April bis 25. August 2021 erhielten die Sicherheitsforscher mit ihrem Autodiscover-Honeypot Hunderte von Anfragen mit Tausenden von Anmeldedaten von Benutzern (siehe obiges Bild). Deren Clients versuchten ein Exchange-Konto einzurichten, konnten aber den richtigen Autodiscover-Endpunkt des Exchange-Postfachs nicht finden. Bei verwendeter Basic-Authentifizierung wurden von den Clients die Zugangsdaten bei jedem Ping im Klartext mitgeschickt. Betroffenen waren Unternehmen und Organisationen aus unterschiedlichen Bereichen.<\/p>\n

Ich hatte das Thema im Blog-Beitrag Microsoft Exchange Autodiscover-Designfehler erm\u00f6glicht Abgriff von Zugangsdaten<\/a> aufgegriffen. Was mich etwas wunderte, war einerseits, dass vielen Lesern nicht klar war, dass das Problem beim Client lag. Dann gab es in den Kommentaren sehr schnell einen Link auf diese Diskussion im MCSE-Board<\/a> und Frank Carius hat sich in diesem Artikel<\/a> ein paar Gedanken zum Ganzen gemacht. Der Tenor, den ich da herauslese, ist: Das das Ganze nicht nachvollziehbar sei. Ist unter dem Strich aber ein Schluss mit Risiko.<\/p>\n

Microsoft registriert autodiscover-Domains<\/h2>\n

Meine Schlussfolgerung aus dem letzten Satz scheint auch Microsoft zu teilen. Auch wenn bisher kein Missbrauch bekannt ist, lauert dort ein potentielles Sicherheitsproblem. Jedenfalls meldet Bleeping Computer<\/a>, dass Microsoft eilig damit begonnen habe, Domains mit dem Schema autodiscover.[TLD]<\/em> zu registrieren, da diese Windows-Anmeldedaten leaken k\u00f6nnten.<\/p>\n

\"Microsoft<\/a><\/p>\n

In diesem Artikel<\/a> zitiert Bleeping Computer Microsoft, dass man den Sachverhalt, den Guardicore offen gelegt habe, aktiv untersuche und Ma\u00dfnahmen plane, die Gefahr zu minimieren. Dazu geh\u00f6rt auch, die betreffenden Domains zu \u00fcbernehmen. Laut obigem Tweet sind bisher 68 dieser Domains inzwischen im Besitzt von Microsoft, w\u00e4hrend dies bei 38 Domains nicht verifiziert werden konnte (die Eigent\u00fcmer werden bei einer WhoIs-Abfrage aus Datenschutzgr\u00fcnden nicht genannt). Die Liste der Domains ist im Bleeping Computer Artikel zu finden.<\/p>\n

Die Microsoft-Aktion wird zwar die M\u00f6glichkeit des Missbrauchs reduzieren. Problem stellen aber die (Mail-)Clients dar, die fehlerhaft implementiert sind und die Anmeldedaten bei der Kontenkonfigurierung unverschl\u00fcsselt senden. Bleeping Computer f\u00fchrt dabei auch Microsoft E-Mail-Clients wie Microsoft Outlook und aus Office 365 auf – das gr\u00f6\u00dfere Problem d\u00fcrften aber Clients von Drittanbietern sein. Die Kuh ist meiner Meinung nach nicht vom Eis.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nOffice365: Update \u00e4ndert Autodiscover, Outlook-Anmeldung scheitert<\/a>
\nExchange Server: Authentifizierungs-Bypass mit ProxyToken<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nExchange Sicherheitsupdates von Juli 2021 zerschie\u00dfen ECP und OWA<\/a>
\nExchange 2016\/2019: Outlook-Probleme durch AMSI-Integration<\/a>
\nAngriffswelle, fast 2.000 Exchange-Server \u00fcber ProxyShell gehackt<\/a>
\nExchange Server 2016-2019: Benutzerdefinierte Attribute in ECP nach CU-Installation (Juli 2021) nicht mehr aktualisierbar<\/a>
\nExchange-Schwachstellen: Droht Hafnium II?<\/a>
\nMicrosoft Exchange Autodiscover-Designfehler erm\u00f6glicht Abgriff von Zugangsdaten<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Nachdem ein Designfehler in dem von Microsoft Exchange verwendeten Autodiscover-Protokoll bekannt wurde, versucht Microsoft jetzt auf die Schnelle alle Autodiscover-Domains zu registrieren. Denn Clients leaken \u00fcber das Autodiscover-Protokoll Zugangsdaten zu Exchange-Konten an solche Autodiscover-Domains, falls die eigentliche Domain nicht erreichbar … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5359,4328],"class_list":["post-257919","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257919","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257919"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257919\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257919"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257919"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257919"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}