K-iS Security Advisory 2021-007 – Microsoft Exchange Autodiscover-Sicherheitslücke
Microsoft Outlook nutzt bei der Einrichtung eines E-Mail-Kontos die Funktion der Autoermittlung. Bei dieser Abfrage wird intern zunächst eine SCP-Abfrage (Service Connections Point) gestellt und somit, aufgrund der E-Mail-Adresse, der entsprechende Mailserver gefunden.
Schlägt diese SCP-Abfrage fehl, wird über das Protokoll „Autodiscover“ versucht, den Exchange Server zu finden. Im internen Netz ist das kein Problem, da hier der SCP-Eintrag sicher gefunden werden kann.
Betrifft dies jedoch ein Outlook oder andere mobile Geräte außerhalb des Organisationsnetzwerks, kann es dazu führen, dass das Autodiscover-Protokoll die Zugangsdaten zum Postfach / der Domäne im Klartext an eine automatisch erstellte Autodiscover-Adresse sendet. Diese automatisch erstellten Adressen werden von Angreifern genutzt, um die Zugangsdaten abzugreifen und zum Beispiel für zukünftige Angriffe zu verwenden.
Um das Abfangen zu verhindern, ist es nötig den Zugriff auf autdiscover.[TLD]-Domänen zu unterbinden. Die Möglichkeiten sind abhängig von der verwendeten Software und Firewall und bedürfen einer individuellen Beratung.
Das Problem ist Microsoft bereits seit 2016 bekannt. Ein Fix dagegen soll erscheinen, es stehen zum Erscheinungstag aber bisher keine weiteren Informationen zur Verfügung.
Gerne unterstützen wir Sie bei der Aktualisierung sowie Prüfung Ihrer Systeme. Melden Sie sich dazu bitte bei unserem Support per Mail (support@k-is.com) oder telefonisch (Deutschland: +49 271 31370-30 (Siegen) oder +49 6761 9321-55 (Simmern) | Schweiz: +41-55-536-1020) und vereinbaren einen zeitnahen Termin.