{"id":258201,"date":"2021-10-02T00:01:00","date_gmt":"2021-10-01T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258201"},"modified":"2022-07-27T10:43:15","modified_gmt":"2022-07-27T08:43:15","slug":"autodiscover-passwort-leak-schwche-seit-5-jahren-bei-microsoft-bekannt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/10\/02\/autodiscover-passwort-leak-schwche-seit-5-jahren-bei-microsoft-bekannt\/","title":{"rendered":"Autodiscover-Passwort-Leak-Schwäche seit 5 Jahren bei Microsoft bekannt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Noch ein kleiner Beitrag, in dem ich ein Thema aus voriger Woche aufkehre. Ich hatte ja berichtet, dass es im Autodiscover-Protokoll, welches von Microsoft Exchange benutzt wird, eine Schwachstelle gibt, die Kennw\u00f6rter verr\u00e4t. Inzwischen versucht Microsoft sich, auf Grund der Berichterstattung, die missbrauchbaren Autodiscover-Domains zu schnappen. Allerdings ist nun bekannt geworden, dass diese Schw\u00e4che bei Microsoft seit mindestens 5 Jahren bekannt war, ohne das etwas passierte.<\/p>\n

<\/p>\n

Das Autodiscover-Problem<\/h2>\n

\"\"Autodiscover ist ein von Microsoft Exchange verwendetes Protokoll zur automatischen Konfiguration der f\u00fcr E-Mail-Konten von Clients wie Microsoft Outlook. Ziel des Protokolls ist es, dass ein Endbenutzer seinen Outlook-Client vollst\u00e4ndig konfigurieren kann, indem er lediglich seinen Benutzernamen (die E-Mail-Adresse) und sein Kennwort angibt und den Rest der Konfiguration dem Autodiscover-Protokoll von Microsoft Exchange \u00fcberl\u00e4sst.<\/p>\n

Sicherheitsforscher von Guardicore hatten k\u00fcrzlich aber \u00f6ffentlich im Blog-Beitrag Autodiscovering the Great Leak<\/a>\u00a0auf einen Designproblem in dem von Microsoft Exchange benutzten Autodiscover-Protokoll hingewiesen. Das Problem: Angreifern w\u00fcrde es erm\u00f6glicht, \u00fcber externe Autodiscover-Domains die Anmeldedaten von Domains abzugreifen. Problem ist, dass die Clients bei der Einrichtung eines Kontos einen Ping mit den Anmeldedaten (Benutzername, Kennwort, Domain) an verschiedene Adressen schicken.<\/p>\n

Sofern der eigentlich adressierte Exchange-Server dann keine Protokolldaten an den Client schickt, versucht der Client weitere Autodiscover-TLD-URLs abzupr\u00fcfen. Und manche Mail-Clients schicken dabei ihre Anmeldedaten f\u00fcr Exchange-Konten im Klartext per http mit. Ich hatte diesen Sachverhalt etwas detaillierter im Beitrag Microsoft Exchange Autodiscover-Designfehler erm\u00f6glicht Abgriff von Zugangsdaten<\/a> dargestellt.<\/p>\n

Das Problem war lange bekannt<\/h2>\n

Ganz klar: Es ist ein Problem der Clients, aber das macht es nicht wirklich besser. Mein letzter Stand war, dass Microsoft seit der Guardicore-Ver\u00f6ffentlichung damit begonnen habe, die TLDs f\u00fcr Autodiscover zu registrieren (siehe meinen Beitrag Microsoft versucht Autodiscover-Domains zu registrieren<\/a>). Damit wird ein Missbrauch durch Dritte f\u00fcr diese Autodiscover-TLDs unm\u00f6glich.<\/p>\n

Die Tage lese<\/a> ich bei heise, dass dieses Problem seit mindestens f\u00fcnf Jahren bei Microsoft bekannt war. Die britische Webseite The Register hat am 19. September 2016 den Beitrag Microsoft snubs alert over Exchange hole<\/a> dazu publiziert. Marco van Beek war damals auf die oben erw\u00e4hnte Schwachstelle gesto\u00dfen und hatte am 10. August 2016 Microsoft \u00fcber das Problem informiert. Van Beek schrieb dazu:<\/p>\n

Ich habe vor kurzem entdeckt, dass die meisten, wenn nicht sogar alle Microsoft Exchange-Clients (z. B. Outlook, iPhone Mail App, Android Mail App, Blackberry Mail App) gerne das Passwort eines Benutzers im Klartext an jeden Webserver derselben Dom\u00e4ne weitergeben, die in einer E-Mail-Adresse verwendet wird, und dass dazu nur vier Zeilen Code und eine lokale Konfigurationsdatei erforderlich sind.<\/p><\/blockquote>\n

Von Beek ging von einem gehackten Exchange-Server aus, w\u00e4hrend Guadicore \u00fcber deren als Honeypot registrierten Autodiscover-Domains nachwies, dass auch fehlkonfigurierte Exchange-Server zum Passwort-Leak f\u00fchren k\u00f6nnen. Die Antwort Microsofts von Oktober 2016 stellte van Beek nicht wirklich zufrieden. Denn Redmond spielte die Schwere der angeblichen Schwachstelle in der Autodiscover-Erkennung von Exchange herunter. Man erkl\u00e4rte damals, dass man keine Notwendigkeit sehe, die gemeldete Sicherheitsl\u00fccke zu schlie\u00dfen. Redmond behauptet seinerzeit, dass seine bestehenden Sicherheitshinweise das Problem abdecken. Dieser Punkt wurde von Marco van Beek bestritten.<\/p>\n

Es mag sein, dass die Microsoft Sicherheitsleute das Problem nicht erkannten oder diesem nicht wirklich nachgingen. Lange Rede kurzer Sinn: Die heftigen Angriffe auf Microsoft Exchange Instanzen in den letzten Monaten, sowie die Guardicore-Ver\u00f6ffentlichung, haben wohl einen Sinneswandel bei Microsoft verursacht. Insgesamt aber alles andere als sch\u00f6n – imho.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Microsoft Exchange Autodiscover-Designfehler erm\u00f6glicht Abgriff von Zugangsdaten<\/a>
\nMicrosoft versucht Autodiscover-Domains zu registrieren<\/a>
\nMicrosoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner<\/a>
\nMicrosoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert<\/a>
\nExchange-Probleme mit ECP\/OWA-Suche nach Sicherheitsupdate (M\u00e4rz 2021)<\/a>
\nSicherheitsupdates f\u00fcr Exchange Server (Juli 2021)<\/a>
\nExchange 2016\/2019: Outlook-Probleme durch AMSI-Integration<\/a>
\nExchange ProxyLogon-Schwachstelle nach 1 Tag durch FamousSparrow ausgenutzt<\/a>
\nExchange Server September 2021 CU (28.9.2021)<\/a>
\nExchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein kleiner Beitrag, in dem ich ein Thema aus voriger Woche aufkehre. Ich hatte ja berichtet, dass es im Autodiscover-Protokoll, welches von Microsoft Exchange benutzt wird, eine Schwachstelle gibt, die Kennw\u00f6rter verr\u00e4t. Inzwischen versucht Microsoft sich, auf Grund der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,3836],"class_list":["post-258201","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258201","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258201"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258201\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258201"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258201"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258201"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}