In Microsofts E-Mail-Software Exchange gibt es eine Sicherheitslücke, die leicht ausgenutzt werden kann. Die Sicherheitsforscher von Guardicore konnten durch Domains mit bestimmten Namen innerhalb von vier Monaten fast 100.000 E-Mail-Zugangsdaten abfangen, die über die Exchange-Funktion Autodiscover übermittelt wurden.
Autodiscover geht zu weit
Mit Autodiscover will Microsoft die Einrichtung von E-Mail-Clients leichter gestalten. Exchange sucht dafür nach hinterlegten Einrichtungsdaten wie etwa der Postfach-Adresse, sodass der Nutzer außer der E-Mail-Adresse und dem Passwort nichts eingeben muss. Diese Suche nach den hinterlegten Daten ist dabei genau das Problem, denn es gibt keinen einheitlichen Standard für den Speicherort.
Ist eine E-Mail-Adresse beispielsweise bei beispielhoster.de registriert, so sucht Autodiscover beispielsweise bei autodiscover.beispielshoster.de oder bei beispielshoster.de/autodiscover nach den Einrichtungsdaten. Nach mehreren solchen Versuchen geht das Programm weiter und versucht es mit allgemeineren Domains wie beispielsweise autodiscover.de. Diese Domain hat aber gar nichts mehr mit dem angegebenen E-Mail-Hoster zu tun, prinzipiell könnte also jeder Nutzer einfach eine entsprechende Domain registrieren, den Webserver entsprechend aufsetzen und von Microsoft ganz automatisch E-Mail-Daten zugesendet bekommen. Genau das machten sich die Forscher bei Guardicore zu Nutze.
Auch interessant: AMD Ryzen: Sicherheitslücke im Chipsatz-Treiber ermöglichte Datendiebstahl, Fix bereits verteilt
Besonders dramatisch ist dieser Fehler, weil Exchange die Zugangsdaten entweder direkt unverschlüsselt an den Zielserver überträgt, oder sie zumindest auf Rückfrage herausgibt. Bei letzterem wird der Nutzer zwar durch Exchange aufgefordert, seine Windows-Anmeldedaten einzugeben, doch das dürfte den meisten Nutzern nicht verdächtig erscheinen.
Microsofts Reaktion auf den Fehler ist indes ungewöhnlich: Laut Bleeping Computer hat das Unternehmen zunächst damit begonnen, einfach alle mögliche Autodiscover-Domains zu registrieren. Manche dieser Domains sind aber bereits registriert, sie können also weiterhin zum Entwenden von Daten verwendet werden. Für eine richtige Lösung ist also eine Überarbeitung von Microsofts Exchange notwendig. Ob und wann diese kommen wird, ist allerdings unklar - insbesondere auch deshalb, weil es einen ersten Bericht über die Sicherheitslücke schon 2017 gab.
Quellen: Guardicore, Heise, Spiegel
Reklame: Den besten Virenscanner Kaspersky Lab Internet Security jetzt kaufen
Sicherheits-GAU: Spectre & Meltdown - Hintergründe, Tipps und Benchmarks
Die mit * gekennzeichneten Links sind Affiliate Links. Affiliate-Links sind keine Anzeigen, da wir bei der Recherche und Auswahl der vorgestellten Produkte unabhängig sind. Für Produktverkäufe erhalten wir eine kleine Provision, mit der wir die kostenlosen Inhalte der Webseite teilweise finanzieren.
Exchange-Sicherheitslücke ermöglicht leichten Diebstahl von E-Mail-Zugangsdaten - PC Games Hardware
Read More
No comments:
Post a Comment