zurück zum Artikel

Autodiscover: Exchange-Protokoll leakt Windows-Anmeldedaten ins öffentliche Netz

Fabian A. Scherschel
Passwort

(Bild: your / Shutterstock.com)

Ein Problem mit Microsoft-Mail-Programmen erlaubt es Angreifern unter Umständen, Anmeldedaten für Windows-Domänen auszulesen. Nun sind die Details öffentlich.

Microsofts E-Mail-Programme Outlook und Exchange haben eine Funktion, die neuen Nutzern das erste Einrichten ihres E-Mail-Kontos erleichtern soll: Der Anwender gibt zum Beispiel nur seine E-Mail-Adresse ein und das Programm findet dann die Einstellungen des dazugehörigen E-Mail-Servers ganz von alleine. Das läuft, für den Anwender unsichtbar, über ein Protokoll namens Autodiscover.

Dieses Protokoll hat konzeptionelle Fehler, die schon lange bekannt sind und von Angreifern dazu missbraucht werden können, Klartext-Anmeldedaten für E-Mail-Postfächer und sogar die lokale Windows-Domäne abzugreifen. Eine Sicherheitsfirma hat nun ausführlich erklärt, wie das funktioniert.

Sicherheitsforscher der Firma Guardicore dokumentierten nun erfolgreiche Versuche, über Autodiscover solche Anmeldedaten auszuspionieren [1]. Sie konzentrierten sich dabei vor allem auf Windows-Anmeldedaten. Insgesamt gelang es ihnen in knapp vier Monaten, mehr als 372.000 Anmelde-Versuche für Windows-Domänen auszuspionieren. Daraus resultierten die Anmelde-Daten von 96.671 Windows-Konten – im Klartext. Die Anmelde-Versuche stammten von Outlook und mobilen E-Mail-Programmen von Microsoft und anderen Anbietern, die nach der Neueinrichtung eines E-Mail-Kontos versuchten, sich mit Exchange-Servern von Organisationen zu verbinden. Bei den betroffenen Organisationen handelt es sich laut Gaurdicore um Banken, Transportunternehmen, Lebensmittelhersteller, große börsennotierte Unternehmen im chinesischen Markt sowie um Kraftwerks- und Stromnetzbetreiber in mehreren Ländern. Genauer identifizieren will die Sicherheitsfirma die Opfer allerdings nicht.

Guardicore konnte diese Anmeldedaten auslesen, weil sie durch einen Fehler im Design des Protokolls ins öffentliche Netz durchsickern. Die Microsoft-Mail-Programme versuchen es dem Anwender so leicht wie möglich zu machen, sein E-Mail-Konto einzurichten. Deshalb suchen sie über Autodiscover nach einer Konfigurations-URL eines Exchange-Servers in der Windows-Domäne des Anmelders. Gibt dieser eine E-Mail-Adresse ein, geht das Protokoll davon aus, dass die darin enthaltene Domäne auch die Windows-Domäne der Organisation ist.

Bei der E-Mail-Adresse m.musterfrau@beispielfirma.de würde die Software zuerst versuchen, einen Konfigurations-Endpunkt unter autodiscover.beispielfirma.de und unter beispielfirma.de zu erreichen. Antwortet niemand, wird das Autodiscover-Protokoll kreativ und genau darin liegt das Problem. Jetzt versucht die Software nämlich, aus den Bausteinen "Autodiscover", der Firmen-Domain (beispielfirma) und der TLD (.de) eine URL zusammen zu bauen, unter der sie eine Antwort bekommt. Dabei kann auch die Kombination Autodiscover.TLD herauskommen.

Das kann dazu führen, dass das E-Mail-Programm versucht, Domains wie autodiscover.de zu kontaktieren – es verwendet also den Baustein "Autodiscover" und die TLD der eingegebenen E-Mail-Adresse. Leider sind die aber öffentlich und können von jedermann registriert werden. Und genau das ist mit autodiscover.de und autodiscover.com auch bereits passiert – wobei zumindest letztere Domain recht zwielichtige Besitzer zu haben scheint. Immerhin gelang es den Guardicore-Forschern, die Domains autodiscover.es, .fr, .in, .it, .sg, .uk, .com.br, .com.cn, .com.co, .xyz und .online zu registrieren. Und dort horchten ihre Server nun auf ankommende Autodiscover-Anfragen.

Interessanterweise erhielten die Server direkt Anmeldedaten – im Plaintext oder Base64-kodiert – ohne dass der Client vorher erst mal geprüft hätte, ob da am anderen Ende auch wirklich ein bekannter Server sitzt. In manchen Fällen versuchte Outlook, seine Anfrage an den vermeintlichen Exchange-Server anstatt mit einer Plaintext-Anmeldung mit einem Token zu authentifizieren, mit dem ein Angreifer nacher in der Domäne keinen Unfug treiben kann. Da Microsoft aber auch hier beim Bau des Protokolls zu vertrauenswürdig war, kann der Server unter der Kontrolle des Angreifers diese Anfrage aber downgraden und erhält so wieder brauchbare Credentials.

Dieses Downgrade führt allerdings zu einer Anfrage beim Anwender, der nun seinen Nutzernamen und sein Domänen-Passwort eingeben muss. Falls der Server kein TLS-Zertifikat hat, dem der Rechner des Anwenders vertraut, wird dieser gewarnt. Das umging Guardicore allerdings, indem sich deren Server in Echtzeit ein vertrauenswürdiges Zertifikat von Let's Encrypt ausstellen lies. So bekam der Anwender am anderen Ende der Leitung keine Warnung, sondern nur eine Anfrage nach seinen Windows-Anmeldedaten, die im Kontext einer Neueinrichtung eines E-Mail-Kontos völlig legitim erscheint. Es ist wenig überraschend, dass die Sicherheitsforscher auch hier eine Menge Daten abgreifen konnten.

Dass Outlook und Exchange hier einfache, HTTP-authentifizierte Klartext-Anmeldedaten an irgendwelche unbekannten Server verschicken ist ein riesiges Problem. Zwar untersuchten die Forscher nur eine Version (basierend auf Plain Old XML oder POX) von vielen des Autodiscover-Protokolls und es gelang ihnen auch bei weitem nicht in allen möglichen Konfigurationen Daten auszulesen, der Erfolg ihrer Datenspionage im öffentlichen Netz mit den selbst registrierten Domains sollte allerdings zu denken geben.

Was besonders beunruhigend ist, ist die Tatsache, dass schon seit Jahren bekannt ist, dass Autodiscover auf diese Art Probleme macht. Im Jahr 2017 veröffentlichten Sicherheitsforscher von Shape Security eine detaillierte Abhandlung zu ähnlichen Autodiscover-Problemen in mobilen Mail-Programmen [2]. Sie meldeten diese als Sicherheitslücken, die als CVE-2016-9940 und CVE-2017-2414 geführt werden.

Man kann getrost davon ausgehen, dass seitdem auch die Autodiscover-Lücken in anderen Mail-Programmen von Hackern entdeckt wurden. Einige dieser Hacker werden wohl auch bösartige Absichten verfolgt haben. Die Tatsache, dass manche Autodiscover-TLDs bereits seit Jahren registriert sind, einige davon anonym, lässt Übles erahnen.

Im Zuge der Reaktion vieler Firmen auf die SARS-CoV-2-Pandemie im vergangenen Jahr wird die Neuanmeldung von E-Mail-Konten auf Grund der verstärkten Verlagerung von Arbeitnehmern ins Home Office wohl auch noch einmal stark zugenommen haben. Was wohl bedeutet, dass das Erbeuten solcher Anmeldedaten weitaus lukrativer geworden ist. Und man muss wohl auch davon ausgehen, dass erbeutete Windows-Anmeldungen für Angreifer nun besonders nützlich sind, da sich immer mehr Firmen zunehmend für Anmeldungen aus dem öffentlichen Netz öffnen müssen.

Die Forscher von Guardicore haben nach eigenen Angaben einige der betroffenen Organisationen, für die sie Anmeldedaten abgreifen konnten, informiert. Gegenüber der US-amerikanischen Nachrichten-Webseite ZDNet gab Microsoft allerdings zu Protokoll [3], man sei von den Forschern nicht angesprochen worden. Man untersuche den Bericht nun und werde "angemessene Schritte ergreifen", um seine Kunden zu schützen. Falls die von Guardicore beschriebenen Probleme gänzlich richtig dargelegt wurden, darf man sich allerdings fragen, warum dieses riesige Datenleck im Autodiscover-Protokoll für Jahre, oder Jahrzehnte, die Netze von Microsoft-Kunden gefährden konnte, ohne dass der Konzern von sich aus einschritt.

Admins, die nicht auf die, erfahrungsgemäß eher zähen, Versuche zur Absicherung des Protokolls durch Microsoft warten wollen (vergleiche die Konsequenzen beim großen Exchange-Hack Anfang des Jahres [4]), sollten die Konfiguration ihrer Netzwerke absichern. Die Guardicore-Forscher empfehlen, Firewall-Regeln so anzupassen, dass alle Anfragen an autodiscover.TLD-Domains geblockt werden. Dafür stellen die Forscher eine Liste entsprechender gefährlicher Domains [5] auf GitHub bereit.

Außerdem sollte bei der Konfiguration von Exchange die einfache HTTP-Authentifizierung deaktiviert werden, damit Anmeldedaten nicht im Klartext verschickt werden. Admins sollten natürlich auch darauf achten, dass Mitarbeiter im Home Office ebenfalls entsprechend geschützt sind.

(fab [6])


URL dieses Artikels:
https://www.heise.de/-6199548

Links in diesem Artikel:
[1] https://www.guardicore.com/labs/autodiscovering-the-great-leak/
[2] https://www.blackhat.com/docs/asia-17/materials/asia-17-Nesterov-All-Your-Emails-Belong-To-Us-Exploiting-Vulnerable-Email-Clients-Via-Domain-Name-Collision-wp.pdf
[3] https://www.zdnet.com/article/design-flaw-in-microsoft-autodiscover-abused-to-leak-windows-domain-credentials/
[4] https://www.heise.de/news/Analyse-Exchange-und-die-Cyber-Abschreckungsspirale-5284372.html
[5] https://github.com/guardicore/labs_campaigns/tree/master/Autodiscover
[6] mailto:contact@fab.industries