»Neue Nachricht«-Symbol in Outlook (Archivbild)
Foto: Jan-Philipp Strobel/ dpaMicrosoft will es seinen Nutzerinnen und Nutzern leicht machen. Daher genügt es in vielen Fällen, seine E-Mail-Adresse in Programme wie Outlook einzugeben, damit diese sich automatisch zur Abfrage von E-Mails des fraglichen E-Mail-Kontos konfigurieren können. Das ist schön einfach, doch der Komfort hat einen Haken: In den vergangenen Monaten sind die Anmeldedaten vieler solcher E-Mail-Konten einem Forscher in die Falle gegangen, vollkommen unbemerkt.
Sicherheitsexperte Amit Serper vom IT-Dienstleister Guardicore hat nach eigenen Angaben zwischen April und August die Zugangsdaten zu knapp 100.000 Windows-Konten abgefangen, die von Microsoft Outlook und anderen E-Mail-Programmen durchs Netz geschickt worden waren.
Das Problem ist demnach die sogenannte Autodiscover-Funktion, die Microsoft anbietet, um die Einrichtung von E-Mail-Programmen im Zusammenspiel mit sogenannten Exchange-Servern zu erleichtern. Statt dass sich Anwenderinnen und Anwender mit Dingen wie SMTP, IMAP und LDAP herumschlagen müssen, sorgt diese Funktion dafür, dass die Software die nötigen Konfigurationsdaten selbst beim Server abfragt und einträgt.
Die Software sucht immer weiter
Dabei verwendet die Software die sogenannte Domäne, das ist der hintere Teil der E-Mail-Adresse, um nach den Konfigurationsdaten zu suchen. Bei der E-Mail-Adresse Max.Mustermann@beispielhaft.de würde das Programm zunächst Adressen wie autodiscover.beispiel.de und beispiel.de anfragen. Wenn die Seite antwortet, klappt die Einrichtung. Läuft die Suche jedoch ins Leere, wird es riskant.
Denn die Software sucht in einem solchen Fall hartnäckig weiter nach einer Lösung, indem sie aus der Domäne – in unserem Beispiel also beispielhaft – und der Toplevel-Domain – in unserem Beispiel .de – Internetadressen zusammensetzt und diese nach den Autodiscover-Daten absucht.
Das hat Serper ausgenutzt und sich Domains wie autodiscover.es für Spanien und autodiscover.uk für Großbritannien. Auf diesen Lockvogelseiten installierte sein Team Web-Server, die auf fehlgeleitete Suchanfragen warteten. »Zu unserer Überraschung haben wir eine beachtliche Menge an Anfragen von Autodiscover-Endgeräten beobachtet«, schreibt Serper.
Dem Team sei es sogar gelungen, die E-Mail-Clients dazu zu bringen, Anmeldedaten über ungesicherte HTTP-Verbindungen an dem Lockvogel-Server zu schicken. Sie konnten also Nutzernamen und Passwörter im Klartext abfangen, was besonders gefährlich ist, da die Outlook-Logins meist den Windows-Anmeldedaten der Nutzerinnen und Nutzer entsprechen.
So können sich Unternehmen schützen
Informatikprofessor Richard Zahoransky sagt im Gespräch mit dem SPIEGEL: »Es handelt sich um eine schwere Schwachstelle, um die sich Microsoft kümmern sollte.« Der Sicherheitsexperte von der Hochschule Furtwangen hält Autodiscover grundsätzlich für eine gute Idee, doch die E-Mail-Programme »probieren zu viel aus«, um es dem Nutzer einfacher zu machen. »Das ist ein Problem.«
Microsoft müsse die Suche nach Autodiscover-Hosts früher abbrechen, sagt Zahoransky. »Anfragen dürfen nicht an öffentlich registrierbare Domainnamen gestellt werden.« Lediglich die URL hinter dem @-Zeichen solle überprüft werden, alles andere könne außerhalb der Kontrolle des jeweiligen Unternehmens sein. Mitarbeiterinnen und Mitarbeiter seien am besten geschützt, wenn ihre Firma eine Autodiscover-Datei unter der von der Software erwarteten Adresse bereitstellt.
Das Guardicore-Team empfiehlt IT-Administratoren zudem, alle auf einer von ihnen zusammengetragenen Liste aufgeführten Autodiscover-Websites zu blockieren. Zudem sollte die sogenannte Standard-Authentifizierung des Exchange-Servers ausgeschaltet werden, damit Anmeldedaten nicht unverschlüsselt übertragen werden können.
Hacker warnten bereits vor Jahren
Auf Anfrage des SPIEGEL verweist Microsoft auf Unternehmenssprecher Jeff Jones, der sagt: »Wir untersuchen die Sache intensiv und unternehmen angemessene Schritte, um die Kunden zu schützen.« Jones beklagt allerdings, dass das Problem dem Microsoft-Sicherheitsteam nicht berichtet worden sei, bevor die Medien informiert wurden.
Serper reagierte auf diesen Vorwurf, indem er twitterte, dass es sich um ein bekanntes Problem handle. Hacker hatten die Risiken schon vor rund fünf Jahren angeprangert. Damals kamen die Wissenschaftler zu dem Urteil, dass »Programme, die blind Anmeldedaten mit Autodiscover-Anfragen senden, es auch unerfahrenen Angreifern möglich machen, große Mengen sensibler Nutzerdaten … zu sammeln, die später für andere Arten von Attacken genutzt werden könnten«.
Bis zu zwei Millionen Anfragen pro Monat hatten die Forscher damals abgefangen. Wenn man davon ausgeht, dass Angreifer seither immer wieder Fallen ausgelegt haben, »hat sich theoretisch in der Zwischenzeit viel abgreifen lassen«, sagt IT-Professor Richard Zahoransky.
https://ift.tt/2W9p5j8
Wissenschaft & Technik
Bagikan Berita Ini
0 Response to "Sicherheitslücke: Forscher lockt Zehntausende in Passwortfalle - DER SPIEGEL"
Post a Comment