Exchange Lücke durch Autodiscover

Sicherheitsforscher haben einen Designfehler in einer Funktion des Microsoft Exchange-Servers entdeckt, der dazu missbraucht werden kann, Windows-Domänen- und Anwendungsanmeldeinformationen von Nutzern zu sammeln. Microsoft prüft nun den Fall.Der von der Sicherheitsfirma Guardicore entdeckte Fehler befindet sich im Microsoft Autodiscover-Protokoll. Das ist eine Funktion der Exchange-E-Mail-Server, die es den E-Mail-Clients ermöglicht, E-Mail-Server automatisch zu erkennen, Anmeldedaten zu übermitteln und dann die richtigen Konfigurationen zu erhalten. Nun besteht aber ein Bug oder besser gesagt ein sogenannter Designfehler in Autodiscover, der dazu verwendet werden kann, Anmeldeinformationen an Unbefugte weiterzugeben.Infografik Oft gehört – nie genutzt: Schutzmaßnahmen im InternetOft gehört - nie genutzt: Schutzmaßnahmen im Internet

Vereinfachung birgt das Risiko

Wie das ganze funktioniert und wo das Problem dabei liegt, erklären die Sicherheitsforscher: Das Protokoll ist ein wichtiger Bestandteil von Exchange-E-Mail-Servern, da es Administratoren eine einfache Möglichkeit bietet, sicherzustellen, dass Clients die richtigen SMTP-, IMAP-, LDAP-, WebDAV- und andere Einstellungen verwenden. Um diese automatischen Konfigurationen zu erhalten, pingen E-Mail-Clients in der Regel eine Reihe vorgegebener URLs an, die von der E-Mail-Adressdomäne des Benutzers abgeleitet sind:

  • https://autodiscover.example.com/autodiscover/autodiscover.xml
  • http://autodiscover.example.com/autodiscover/autodiscover.xml
  • https://example.com/autodiscover/autodiscover.xml
  • http://example.com/autodiscover/autodiscover.xml

Das Problem ist nun, dass dieser Autodiscovery-Mechanismus ein „Back-off“-Verfahren verwendet, falls er den Autodiscover-Endpunkt des Exchange-Servers nicht beim ersten Versuch findet. Dieser „Back-Off“-Mechanismus ist der Übeltäter des Lecks. Guardicore hat nun Honeypots auf Servern laufen gelassen, um das Ausmaß des Problems zu verstehen.

Mehr als vier Monate lang, von April bis August 2021, erhielten die Server laut Guardicore dann Hunderte von Anfragen mit Tausenden von Anmeldedaten von Benutzern, die versuchten, ihre E-Mail-Clients einzurichten, deren E-Mail-Clients jedoch den richtigen Autodiscover-Endpunkt ihres Arbeitgebers nicht finden konnten. „Das interessante Problem bei einem großen Teil der Anfragen, die wir erhalten haben, war, dass auf der Client-Seite kein Versuch unternommen wurde, zu überprüfen, ob die Ressource verfügbar ist oder überhaupt auf dem Server existiert, bevor eine authentifizierte Anfrage gesendet wurde“, erklärt Guardicore in dem nun veröffentlichten Bericht. „Guardicore hat 372.072 Windows-Domänen-Anmeldedaten und 96.671 eindeutige Anmeldedaten aus verschiedenen Anwendungen wie Microsoft Outlook erfasst“, so der Forscher weiter.

Auf Nachfrage von The Record äußerte sich Microsoft bereits zu den Erkenntnissen von Guardicore: „Wir untersuchen das Problem aktiv und werden geeignete Maßnahmen zum Schutz unserer Kunden ergreifen. Wir haben uns der koordinierten Offenlegung von Schwachstellen verschrieben, einem branchenüblichen, kooperativen Ansatz, der unnötige Risiken für Kunden reduziert, bevor Probleme öffentlich gemacht werden. Leider wurde uns dieses Problem nicht gemeldet, bevor das Marketingteam des Forschers es den Medien präsentierte, so dass wir erst heute von den Behauptungen erfahren haben.“ Quelle www.winfuture.de