Autodiscover-Passwort-Leak-Schwäche seit 5 Jahren bei Microsoft bekannt

Sicherheit (Pexels, allgemeine Nutzung)[English]Noch ein kleiner Beitrag, in dem ich ein Thema aus voriger Woche aufkehre. Ich hatte ja berichtet, dass es im Autodiscover-Protokoll, welches von Microsoft Exchange benutzt wird, eine Schwachstelle gibt, die Kennwörter verrät. Inzwischen versucht Microsoft sich, auf Grund der Berichterstattung, die missbrauchbaren Autodiscover-Domains zu schnappen. Allerdings ist nun bekannt geworden, dass diese Schwäche bei Microsoft seit mindestens 5 Jahren bekannt war, ohne das etwas passierte.


Anzeige

Das Autodiscover-Problem

Autodiscover ist ein von Microsoft Exchange verwendetes Protokoll zur automatischen Konfiguration der für E-Mail-Konten von Clients wie Microsoft Outlook. Ziel des Protokolls ist es, dass ein Endbenutzer seinen Outlook-Client vollständig konfigurieren kann, indem er lediglich seinen Benutzernamen (die E-Mail-Adresse) und sein Kennwort angibt und den Rest der Konfiguration dem Autodiscover-Protokoll von Microsoft Exchange überlässt.

Sicherheitsforscher von Guardicore hatten kürzlich aber öffentlich im Blog-Beitrag Autodiscovering the Great Leak auf einen Designproblem in dem von Microsoft Exchange benutzten Autodiscover-Protokoll hingewiesen. Das Problem: Angreifern würde es ermöglicht, über externe Autodiscover-Domains die Anmeldedaten von Domains abzugreifen. Problem ist, dass die Clients bei der Einrichtung eines Kontos einen Ping mit den Anmeldedaten (Benutzername, Kennwort, Domain) an verschiedene Adressen schicken.

Sofern der eigentlich adressierte Exchange-Server dann keine Protokolldaten an den Client schickt, versucht der Client weitere Autodiscover-TLD-URLs abzuprüfen. Und manche Mail-Clients schicken dabei ihre Anmeldedaten für Exchange-Konten im Klartext per http mit. Ich hatte diesen Sachverhalt etwas detaillierter im Beitrag Microsoft Exchange Autodiscover-Designfehler ermöglicht Abgriff von Zugangsdaten dargestellt.

Das Problem war lange bekannt

Ganz klar: Es ist ein Problem der Clients, aber das macht es nicht wirklich besser. Mein letzter Stand war, dass Microsoft seit der Guardicore-Veröffentlichung damit begonnen habe, die TLDs für Autodiscover zu registrieren (siehe meinen Beitrag Microsoft versucht Autodiscover-Domains zu registrieren). Damit wird ein Missbrauch durch Dritte für diese Autodiscover-TLDs unmöglich.


Anzeige

Die Tage lese ich bei heise, dass dieses Problem seit mindestens fünf Jahren bei Microsoft bekannt war. Die britische Webseite The Register hat am 19. September 2016 den Beitrag Microsoft snubs alert over Exchange hole dazu publiziert. Marco van Beek war damals auf die oben erwähnte Schwachstelle gestoßen und hatte am 10. August 2016 Microsoft über das Problem informiert. Van Beek schrieb dazu:

Ich habe vor kurzem entdeckt, dass die meisten, wenn nicht sogar alle Microsoft Exchange-Clients (z. B. Outlook, iPhone Mail App, Android Mail App, Blackberry Mail App) gerne das Passwort eines Benutzers im Klartext an jeden Webserver derselben Domäne weitergeben, die in einer E-Mail-Adresse verwendet wird, und dass dazu nur vier Zeilen Code und eine lokale Konfigurationsdatei erforderlich sind.

Von Beek ging von einem gehackten Exchange-Server aus, während Guadicore über deren als Honeypot registrierten Autodiscover-Domains nachwies, dass auch fehlkonfigurierte Exchange-Server zum Passwort-Leak führen können. Die Antwort Microsofts von Oktober 2016 stellte van Beek nicht wirklich zufrieden. Denn Redmond spielte die Schwere der angeblichen Schwachstelle in der Autodiscover-Erkennung von Exchange herunter. Man erklärte damals, dass man keine Notwendigkeit sehe, die gemeldete Sicherheitslücke zu schließen. Redmond behauptet seinerzeit, dass seine bestehenden Sicherheitshinweise das Problem abdecken. Dieser Punkt wurde von Marco van Beek bestritten.

Es mag sein, dass die Microsoft Sicherheitsleute das Problem nicht erkannten oder diesem nicht wirklich nachgingen. Lange Rede kurzer Sinn: Die heftigen Angriffe auf Microsoft Exchange Instanzen in den letzten Monaten, sowie die Guardicore-Veröffentlichung, haben wohl einen Sinneswandel bei Microsoft verursacht. Insgesamt aber alles andere als schön – imho.

Ähnliche Artikel:
Microsoft Exchange Autodiscover-Designfehler ermöglicht Abgriff von Zugangsdaten
Microsoft versucht Autodiscover-Domains zu registrieren
Microsoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Sicherheitsupdates für Exchange Server (Juli 2021)
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Exchange ProxyLogon-Schwachstelle nach 1 Tag durch FamousSparrow ausgenutzt
Exchange Server September 2021 CU (28.9.2021)
Exchange Server September 2021 CU kommt zum 28.9.2021 mit Microsoft Exchange Emergency Mitigation Service


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Autodiscover-Passwort-Leak-Schwäche seit 5 Jahren bei Microsoft bekannt

  1. JohnRipper sagt:

    Ich wäre langsam vorsichtig mit der Veröffentlichung von diesen Forschern:
    "Ich habe all meine Clients und DNS-Server-Logs überprüft aber keinen einzigen Treffer auf "autodiscover.de" oder eine andere Top-Level-Domain gefunden. Zumindest in meiner Umgebung gibt es also keinen Client, der so eine Abfrage versucht hat. Leider ist der Blog-Artikel von "Amit Serper" an der Stelle sehr oberflächlich. Eine Information, welcher Client sich so ungeschickt verhält, bleibt er schuldig. Das sieht eher nach "ClickBait" und FUD (Fear, Uncertainty and Doubt)"
    (Vgl. https://www.msxfaq.de/exchange/autodiscover/autodiscover_guardicore.htm)

    Es gibt weiterhin Threads bei denen das Problem (mit Outlook) einfach nicht nachvollzogen werden kann.

    • 1ST1 sagt:

      Es muss schon was dran sein, wenn Microsoft diese Domains aufkauft. Mich verwundert aber eher, dass MS nicht eher den Programmcode anpasst, damit dieses Verhalten nicht mehr auftritt.

      • JohnRipper sagt:

        Weil sie nur ihre eigenen Produkte patchen können und das Problem höchst wahrscheinlich nicht im Outlook Client, sondern bei Fremdanbietern liegt.

        Und selbst wenn es im Outlook Client liegen würde: Die schnellste und effektivste Lösung ist diese Domains zu (über-)nehmen. Das andere kann ja nachträglich und zusätzlich erfolgen.

        Ich verstehe es halt nicht: Jeder schreit wie böse MS ist, und wenn sie eine effektive Lösung umsetzen, dann ist es auch wieder nicht recht.

        Das zeigt wie wenig verstanden wird …

        • Robert sagt:

          Früher dachte man, eine Software-Schmiede mit SOFT im Namen hätte Entwickler für eine zeitnahe Lösung, aber deren HR ist wohl noch überlastet mit der Suche nach ehemaligen Entwicklern, um das Druck-Problem anzugehen ;-)

          Mit dem Aufkauf von duzenden Domains werden Symptome abgemildert. Dieser Lieferant neigt leider dazu, derartige Provisorien für die Ewigkeit zu belassen bis das nächste Elend aufkommt.

    • Günter Born sagt:

      Ich kenne den Artikel von Frank – enthalte mich aber jeglicher Kommentierung in Bezug auf sein "ClickBait und FUD". Das muss jeder für sich selbst bewerten. Frank hatte ja einen Link hier im Blog gepostet – ich habe aus diesen Gründen auf einen Kommentar verzichtet.

      Unter dem Strich wäre ich aber persönlich vorsichtig, mich hinzustellen und zu sagen: Ich kann es nicht nachvollziehen, also gibt es das nicht. Warum sollte ein leitender Mitarbeiter eine falsche Behauptung aufstellen, dass man binnen mehrerer Monate eine ganze Masse an Anmeldedaten mit den unter autodiscovery-tls aufgesetzten Honeypots erhalten habe?

      Und die Beschwerde Microsofts, dass sich der Sicherheitsforscher nicht an responsible disclosure gehalten habe, spricht auch für sich. Nette Lektüre ist auch dieser Artikel.

      Fazit: Exchange Administratoren können nur insoweit reagieren, als sie sicherstellen, dass die Server per Autodiscovery erreichbar sind und zudem die Domains so anlegen, dass die Kollateralschäden minimal bleiben – imho.

      • JohnRipper sagt:

        Nicht ICH stelle mich hin, sondern ein Frank nimmt auf vielen Seiten eine ausführliche Analyse vor.
        Und weiterhin gibt es einen langen Thread bei … (Forum leider vergessen), in dem etliche Leute das Verhalten von Outlook wie von Guardicore beschrieben nicht nachvollziehen können.

        Letztlich stellst also DU dich hin und leitest aus einer inzwischen zweifelhaften Veröffentlichung iVm mit der Reaktion von MS (welche auf das Verhalten von Fremdsoftware abzielt) ein Urteil ab, ohne die ergänzenden Informationen / Veröffentlichungen auch nur zu erwähnen.

        Das spricht für sich – imho.

        • Günter Born sagt:

          Das Forum ist das MCSE-Board. Beide Links, auf das Forum, sowie auf den Artikel von Carius konnte man in den Kommentaren hier und hier meiner oben verlinkten Beiträge zum Thema Autodiscover finden. Sollte man durchaus berücksichtigen – aber es ging initial um ClickBait und FUD durch Guardicore – und da bin ich weder bei Frank noch bei dir, solange nicht jemand nachweist, dass da getürkt oder was gänzlich falsch interpretiert wurde.

  2. User007 sagt:

    Ich find' die Bekanntmachung solcher "Vorgänge" (und um die geht's hier lediglich!) gut – eine Bewertung davon soll(te) jeder für sich selbst treffen!

  3. MOM20xx sagt:

    bei microsoft ist nirgends dokumentiert, dass es diesen tdl fallback gäbe. macht outlook das, dann bug und ms wird es fixen.

    auf der seite des aufdeckers wird nirgends erwähnt welcher client dieses verhalten hat. man sieht einen wireshark screenshot mit user agent curl. spricht also nicht wirklich für einen validen mailclient.

    alles in allem also viel gebelle um nichts. für mich fud. nicht mehr und nicht weniger

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.