{"id":274200,"date":"2022-10-23T00:38:00","date_gmt":"2022-10-22T22:38:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=274200"},"modified":"2024-02-26T00:44:14","modified_gmt":"2024-02-25T23:44:14","slug":"nett-outlook-speichert-imap-kennwort-dapi-encrypted-in-der-registry","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/10\/23\/nett-outlook-speichert-imap-kennwort-dapi-encrypted-in-der-registry\/","title":{"rendered":"Outlook speichert IMAP-Kennwort DAPI-verschlüsselt in der Registry"},"content":{"rendered":"

[English<\/a>]Noch ein kleiner Infosplitter zum Sonntag. Microsofts Entwickler legen die Kennw\u00f6rter f\u00fcr den Zugriff auf IMAP-Konten f\u00fcr Outlook in der Registrierung ab. Ist zwar DAPI-encrypted, l\u00e4sst sich aber im System mit einem API-Aufruf entschl\u00fcsseln. Dieser Ansatz wird auch von Tools genutzt, um das Kennwort zu ermitteln.<\/p>\n

<\/p>\n

\"\"Wer denkt, dass in Outlook abgelegte Kennw\u00f6rter f\u00fcr den Zugriff auf IMAP-Konten sicher sind, sollte das nochmals \u00fcberdenken. Mir ist die Information bereits vor einiger Zeit in diesem Tweet<\/a> unter die Augen gekommen und ich bin beim Durchgehen meiner Linkliste wieder darauf gesto\u00dfen.<\/p>\n

\"Outlook:<\/a><\/p>\n

Die Aussage: IMAP-Kennw\u00f6rter liegen bei Outlook in der Registry in DPAPI-verschl\u00fcsselter Form vor. Der Schl\u00fcssel ist beispielsweise:<\/p>\n

HKCU\\Software\\Microsoft\\Office\\16.0\\Outlook\\Profiles\\Outlook\\9375CFF0413111d3B88A00104B2A6676<\/pre>\n
Im Tweet schreibt mgeeky, dass ein simpler CryptUnprotectData()<\/em>-API-Aufruf diesen Wert aus der Registrierung entschl\u00fcsseln kann.<\/p>\n
In einem Antwort-Tweet<\/a> schreibt FU Weissinger, dass der Teams Full-Client-Cache auch unverschl\u00fcsselt im Browser-Cache speichert. Das Gleiche gibt f\u00fcr den Teams Web-Client, der Chats unverschl\u00fcsselt im Browser-Cache speichert. Die erlauben kein Teams mehr auf unverwalteten Clients – und ich hatte k\u00fcrzlich auf das Problem im Beitrag Microsoft Teams speichert Authentifizierungstoken als Klartext in Windows, Linux, Macs<\/a> hingewiesen.<\/p><\/blockquote>\n
Zusatzinformationen zu DPAPI<\/h2>\n
Das K\u00fcrzel DPAPI steht f\u00fcr Data Protection API<\/a>, eine einfache kryptografische Anwendungsprogrammierschnittstelle, die als integrierte Komponente in Windows 2000 und sp\u00e4teren Versionen von Microsoft Windows-Betriebssystemen verf\u00fcgbar ist. Theoretisch kann die Datenschutz-API jede Art von Daten symmetrisch verschl\u00fcsseln; in der Praxis wird sie im Windows-Betriebssystem in erster Linie f\u00fcr die symmetrische Verschl\u00fcsselung asymmetrischer privater Schl\u00fcssel verwendet.<\/p>\n
DPAPI speichert selbst keine dauerhaften Daten; stattdessen empf\u00e4ngt es lediglich Klartext und gibt Chiffretext zur\u00fcck (oder umgekehrt). Die Sicherheit von DPAPI h\u00e4ngt von der F\u00e4higkeit des Windows-Betriebssystems ab, den Hauptschl\u00fcssel und die privaten RSA-Schl\u00fcssel vor Kompromittierung zu sch\u00fctzen. Dies h\u00e4ngt in den meisten Angriffsszenarien in hohem Ma\u00dfe von der Sicherheit der Anmeldeinformationen des Endbenutzers ab. Der Hauptschl\u00fcssel f\u00fcr die Ver- und Entschl\u00fcsselung wird mit Hilfe der PBKDF2-Funktion aus dem Passwort des Benutzers abgeleitet.<\/p>\n
Von Microsoft gibt es diesen Beitrag<\/a> zur DPAPI und dieser Beitrag<\/a> geht ausf\u00fchrlicher auf DPAPI ein. Auch\u00a0 der Beitrag hier<\/a> aus dem Threat Hunter Playbook<\/a> diskutiert die Details. Dieser deutschsprachige Beitrag<\/a> aus der Schweiz fragt denn auch, wie sicher die Passw\u00f6rter seien. Wird einen normalen Nutzer nicht interessieren, aber Tools wie der DataProtectionDecryptor von Nirsoft<\/a> nutzen die DPAPI, um Kennw\u00f6rter zu entschl\u00fcsseln.<\/p>\n
\"Nirsoft
\nDataProtectionDecryptor, Quelle: Nirsoft<\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Noch ein kleiner Infosplitter zum Sonntag. Microsofts Entwickler legen die Kennw\u00f6rter f\u00fcr den Zugriff auf IMAP-Konten f\u00fcr Outlook in der Registrierung ab. Ist zwar DAPI-encrypted, l\u00e4sst sich aber im System mit einem API-Aufruf entschl\u00fcsseln. Dieser Ansatz wird auch von Tools … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[215,4328],"class_list":["post-274200","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-outlook","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274200","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=274200"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/274200\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=274200"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=274200"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=274200"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}