Passwort-Leak: Microsoft will die Autodiscover-Lücke seit 5 Jahren nicht beheben

Das Autodiscover-Protokoll von Microsofts E-Mail-Programmen Exchange und Outlook verteilt Anmeldedaten für die Windows-Domäne im Klartext im Netz. Unter bestimmten Umständen sogar außerhalb des Firmennetzes im öffentlichen Internet. Angreifer können diese Daten mitschreiben und dazu missbrauchen, in das Netz der betroffenen Organisation einzudringen oder sich dort festzusetzen und Schadcode zu platzieren. Microsoft wusste von diesem Problem mindestens seit August 2016, hielt es aber nicht für wichtig genug, das Passwort-Leck in einem seiner im Firmenumfeld verbreitetsten Produkte zu stopfen.

In der vergangenen Woche hatte die Sicherheitsfirma Guardicore in einer Untersuchung beschrieben, wie es ihren Sicherheitsforschern gelungen war, Klartext-Passwörter für über neunzigtausend Windows-Domänen-Konten im öffentlichen Netz mitzuschreiben – wir berichteten. Nun wird deutlich, dass Microsoft von diesem Problem bereits seit mindestens fünf Jahren wusste, es aber nicht für nötig hielt, einzuschreiten.

Problem ignoriert, anstatt es zu lösen

Am 10. August 2016 schickte ein Mitarbeiter einer Consulting-Firma aus dem Vereinigten Königreich namens Marco van Beek eine Beschreibung desselben Problems an Microsofts Sicherheitsabteilung. Der einzige Unterschied zu der Untersuchung von Guardicore bestand darin, dass van Beeks Angriffstheorie von einem gehackten Domainserver im Unternehmensnetz ausging, während die neuere Untersuchung von Guardicore beschreibt, wie man das Mail-Programm dazu kriegt, die Passwörter ins öffentliche Netz zu schicken. Die englische Nachrichtenseite The Register berichtete damals, wie Microsoft die Meldung der Sicherheitslücke als nichtig abtat. Einen Monat nach van Beeks Anfrage antwortete Microsoft, man habe keine Absichten, das Verhalten des Autodiscover-Protokolls abzuändern. Sinngemäß stellte sich die Firma auf den Standpunkt, dass es kein Problem von Autodiscover sei, wenn bereits ein Server im Netz von Angreifern kompromittiert sei.

Es scheint also so, als ob auch die Sicherheitsexperten von Microsoft ihre eigenen E-Mail-Programme nicht gut genug kannten, um zu verstehen, dass Autodiscover unter Umständen dazu gebracht werden kann, Passwörter über das Firmennetz hinaus zu verteilen. Mal ganz abgesehen davon, dass es im Sinne der Defense-in-Depth-Philosophie durchaus Sinn ergibt, Sicherheitslücken zu beheben, die nur dann ein Problem werden, wenn der Angreifer andere Systeme im Netz kompromittiert. Erstens, weil man sich (wie Microsoft) bei dieser Einschätzung vertun kann und zweitens, weil es sinnvoll ist, dem Angreifer, der bereits im Netz ist, das Leben trotzdem so schwer wie möglich zu machen. Deswegen sollte man immer alle Sicherheitsprobleme einer Software beheben, egal wie unwahrscheinlich ein konkreter Exploit mit aktuellem Wissen erscheint.

Microsoft scheint das allerdings anders zu sehen und macht bisher keine Anstalten, die Schwachstelle des Autodiscover-Protokolls beheben zu wollen. Zumindest wurde eine entsprechende Anfrage von heise Security bisher nicht beantwortet.

Exchange-Server bekommen Emergency Mitigation

Immerhin hat Microsoft die Sicherheit seines E-Mail-Servers Exchange nach dem Sicherheitsdebakel Anfang des Jahres und weiter anhaltenden Angriffen nicht ebenfalls aufgegeben. Wie Microsoft bekannt gab, will man noch diese Woche ein Update für Exchange veröffentlichen, das eine Funktion namens Emergency Mitigation (EM) enthält. Damit soll es möglich sein, neu entdeckte Exchange-Lücken direkt auf den Servern der Kunden zu schließen. Dafür sucht die Software stündlich in der Microsoft-Cloud nach neuen Patches und installiert diese gegebenenfalls sofort.

Normale Security Updates müssen allerdings trotzdem installiert werden, betont Microsoft. Man wolle EM-Patches nur für besonders kritische Sicherheitsprobleme herausgeben. Das Autodiscover-Problem dürfte wohl nicht dazu zählen.

Das EM-Update ist Teil des kumulativen September-2021-Patches für Exchange-Server. Da die neue Funktion das Modul URL Rewrite v2 für IIS benötigt, ist dies ab diesem Update Pflicht für die Installation von Exchange. Außerdem muss der Server mit dem Office Config Service (OCS) in der Microsoft-Cloud verbunden werden, weil sonst die EM-Funktion keine neuen Patches finden kann.

(fab)