{"id":696,"date":"2021-10-01T13:14:54","date_gmt":"2021-10-01T11:14:54","guid":{"rendered":"https:\/\/sevennineseven.at\/?p=696"},"modified":"2021-10-01T13:27:35","modified_gmt":"2021-10-01T11:27:35","slug":"passwort-leak-microsoft-will-die-autodiscover-luecke-seit-5-jahren-nicht-beheben","status":"publish","type":"post","link":"https:\/\/sevennineseven.at\/index.php\/2021\/10\/01\/passwort-leak-microsoft-will-die-autodiscover-luecke-seit-5-jahren-nicht-beheben\/","title":{"rendered":"Passwort-Leak: Microsoft will die Autodiscover-L\u00fccke seit 5 Jahren nicht beheben"},"content":{"rendered":"\n

28.09.2021 11:22 Uhr<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Die Firma wusste seit mindestens einem halben Jahrzehnt von der Schwachstelle, \u00fcber die man Windows-Dom\u00e4nen-Passw\u00f6rter im Klartext auslesen kann.<\/p>\n\n\n\n

Das Autodiscover-Protokoll von Microsofts E-Mail-Programmen Exchange und Outlook verteilt Anmeldedaten f\u00fcr die Windows-Dom\u00e4ne im Klartext im Netz. Unter bestimmten Umst\u00e4nden sogar au\u00dferhalb des Firmennetzes im \u00f6ffentlichen Internet. Angreifer k\u00f6nnen diese Daten mitschreiben und dazu missbrauchen, in das Netz der betroffenen Organisation einzudringen oder sich dort festzusetzen und Schadcode zu platzieren. Microsoft wusste von diesem Problem mindestens seit August 2016, hielt es aber nicht f\u00fcr wichtig genug, das Passwort-Leck in einem seiner im Firmenumfeld verbreitetsten Produkte zu stopfen.<\/p>\n\n\n\n

In der vergangenen Woche hatte die Sicherheitsfirma Guardicore in einer Untersuchung beschrieben, wie es ihren Sicherheitsforschern gelungen war, Klartext-Passw\u00f6rter f\u00fcr \u00fcber neunzigtausend Windows-Dom\u00e4nen-Konten im \u00f6ffentlichen Netz mitzuschreiben \u2013 wir berichteten<\/a>. Nun wird deutlich, dass Microsoft von diesem Problem bereits seit mindestens f\u00fcnf Jahren wusste, es aber nicht f\u00fcr n\u00f6tig hielt, einzuschreiten.<\/p>\n\n\n\n

Problem ignoriert, anstatt es zu l\u00f6sen<\/strong><\/h3>\n\n\n\n

Am 10. August 2016 schickte ein Mitarbeiter einer Consulting-Firma aus dem Vereinigten K\u00f6nigreich namens Marco van Beek eine Beschreibung desselben Problems an Microsofts Sicherheitsabteilung. Der einzige Unterschied zu der Untersuchung von Guardicore bestand darin, dass van Beeks Angriffstheorie von einem gehackten Domainserver im Unternehmensnetz ausging, w\u00e4hrend die neuere Untersuchung von Guardicore beschreibt, wie man das Mail-Programm dazu kriegt, die Passw\u00f6rter ins \u00f6ffentliche Netz zu schicken. Die englische Nachrichtenseite The Register<\/em> berichtete damals, wie Microsoft die Meldung der Sicherheitsl\u00fccke als nichtig abtat<\/a>. Einen Monat nach van Beeks Anfrage antwortete Microsoft, man habe keine Absichten, das Verhalten des Autodiscover-Protokolls abzu\u00e4ndern. Sinngem\u00e4\u00df stellte sich die Firma auf den Standpunkt, dass es kein Problem von Autodiscover sei, wenn bereits ein Server im Netz von Angreifern kompromittiert sei.<\/p>\n\n\n\n

Es scheint also so, als ob auch die Sicherheitsexperten von Microsoft ihre eigenen E-Mail-Programme nicht gut genug kannten, um zu verstehen, dass Autodiscover unter Umst\u00e4nden dazu gebracht werden kann, Passw\u00f6rter \u00fcber das Firmennetz hinaus zu verteilen. Mal ganz abgesehen davon, dass es im Sinne der Defense-in-Depth-Philosophie durchaus Sinn ergibt, Sicherheitsl\u00fccken zu beheben, die nur dann ein Problem werden, wenn der Angreifer andere Systeme im Netz kompromittiert. Erstens, weil man sich (wie Microsoft) bei dieser Einsch\u00e4tzung vertun kann und zweitens, weil es sinnvoll ist, dem Angreifer, der bereits im Netz ist, das Leben trotzdem so schwer wie m\u00f6glich zu machen. Deswegen sollte man immer alle Sicherheitsprobleme einer Software beheben, egal wie unwahrscheinlich ein konkreter Exploit mit aktuellem Wissen erscheint.<\/p>\n\n\n\n

Microsoft scheint das allerdings anders zu sehen und macht bisher keine Anstalten, die Schwachstelle des Autodiscover-Protokolls beheben zu wollen. Zumindest wurde eine entsprechende Anfrage von heise Security<\/em> bisher nicht beantwortet.<\/p>\n\n\n\n

Exchange-Server bekommen Emergency Mitigation<\/strong><\/h3>\n\n\n\n

Immerhin hat Microsoft die Sicherheit seines E-Mail-Servers Exchange nach dem Sicherheitsdebakel Anfang des Jahres<\/a> und weiter anhaltenden Angriffen<\/a> nicht ebenfalls aufgegeben. Wie Microsoft bekannt gab<\/a>, will man noch diese Woche ein Update f\u00fcr Exchange ver\u00f6ffentlichen, das eine Funktion namens Emergency Mitigation (EM) enth\u00e4lt. Damit soll es m\u00f6glich sein, neu entdeckte Exchange-L\u00fccken direkt auf den Servern der Kunden zu schlie\u00dfen. Daf\u00fcr sucht die Software st\u00fcndlich in der Microsoft-Cloud nach neuen Patches und installiert diese gegebenenfalls sofort.<\/p>\n\n\n\n

Normale Security Updates m\u00fcssen allerdings trotzdem installiert werden, betont Microsoft. Man wolle EM-Patches nur f\u00fcr besonders kritische Sicherheitsprobleme herausgeben. Das Autodiscover-Problem d\u00fcrfte wohl nicht dazu z\u00e4hlen.<\/p>\n\n\n\n

Das EM-Update ist Teil des kumulativen September-2021-Patches f\u00fcr Exchange-Server. Da die neue Funktion das Modul URL Rewrite v2 f\u00fcr IIS ben\u00f6tigt, ist dies ab diesem Update Pflicht f\u00fcr die Installation von Exchange. Au\u00dferdem muss der Server mit dem Office Config Service (OCS) in der Microsoft-Cloud verbunden werden, weil sonst die EM-Funktion keine neuen Patches finden kann.<\/p>\n\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

28.09.2021 11:22 Uhr Die Firma wusste seit mindestens einem halben Jahrzehnt von der Schwachstelle, \u00fcber die man Windows-Dom\u00e4nen-Passw\u00f6rter im Klartext auslesen kann. Das Autodiscover-Protokoll von Microsofts E-Mail-Programmen Exchange und Outlook verteilt Anmeldedaten f\u00fcr die Windows-Dom\u00e4ne im Klartext im Netz. Unter bestimmten Umst\u00e4nden sogar au\u00dferhalb des Firmennetzes im \u00f6ffentlichen Internet. Angreifer k\u00f6nnen diese Daten mitschreiben und dazu missbrauchen, … Weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[40,37,6,31,7,46],"tags":[60,56,55,59,57],"_links":{"self":[{"href":"https:\/\/sevennineseven.at\/index.php\/wp-json\/wp\/v2\/posts\/696"}],"collection":[{"href":"https:\/\/sevennineseven.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sevennineseven.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sevennineseven.at\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sevennineseven.at\/index.php\/wp-json\/wp\/v2\/comments?post=696"}],"version-history":[{"count":2,"href":"https:\/\/sevennineseven.at\/index.php\/wp-json\/wp\/v2\/posts\/696\/revisions"}],"predecessor-version":[{"id":700,"href":"https:\/\/sevennineseven.at\/index.php\/wp-json\/wp\/v2\/posts\/696\/revisions\/700"}],"wp:attachment":[{"href":"https:\/\/sevennineseven.at\/index.php\/wp-json\/wp\/v2\/media?parent=696"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sevennineseven.at\/index.php\/wp-json\/wp\/v2\/categories?post=696"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sevennineseven.at\/index.php\/wp-json\/wp\/v2\/tags?post=696"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}