Jump to content

Das nächste Exchange Security Thema


Recommended Posts

Ich kann das Verhalten nicht nachvollziehen. Ich habe mit dem Profil-Manager von Outlook 2016 sowohl ein Exchange als auch ein ActiveSync Profil mit Testdaten und unserer Domain firma.com angelegt. Über den ESET Virenscanner die Firewall auf "Interaktiver Modus" eingestellt, so dass alle angefragten Domain zur Freigabe angezeigt werden. Unsere Autodiscover Domain autodiscover.firma.com entsprechend blockiert, damit keine Einrichtung des Kontos möglich ist.

Es wurde in keinem Testfall die Domain autodiscover.com angefragt, immer nur Domain / Subdomain firma.com. Mache im beim Testen etwas falsch bzw. kann jemand von euch die Sicherheitslücke nachvollziehen? Könnte es sein, dass nur ältere Versionen von MS Outlook betroffen sind?

 

Link to post

Hi,

ich vermute mal, dass das auch nicht unbedingt nur Outlook betrifft, sondern beliebige Autodiscover Clients. Im Artikel ist ja auch bspw. auf 2017 verlinkt wo dieser Fehler schon in Samsungs und Apples Mailapp aufgetreten ist. Wäre also wirklich interessant, welche Clients da so ankommen und betroffen sind.

Link to post

Danke für das Feedback. Ich habe eine ausführliche Beschreibung der Sicherheitslücke unter https://www.guardicore.com/labs/autodiscovering-the-great-leak/  gefunden. In dem Auszug aus dem Webserver Protokoll ist die Outlook Version zu sehen - Windows 10 mit MS Office 2016 bzw. 2019 bzw. Microsoft 365 (sofern ich das richtig interpretiere):

Zitat

Windows+NT+10.0;+Microsoft+Outlook+16.0.13901;+Pro

 

Nachtrag:

Unter https://docs.microsoft.com/de-de/officeupdates/update-history-office-2019 habe ich Infos bzgl. der Buildnummer 13901 gefunden. Diese betreffen die MS Office 2016 / 2019 Version im Zeitraum April / März 2021

Edited by winmadness
Versionsinfo
Link to post

Stellt sich halt die Frage, was die anders machen, als ihr aktuell? :)

 

 

Mal als Frage in die Runde: Das Blocken von autodiscover.tld-irgendwas an der Firewall dürfte ja eh für die Katz sein. Im internen Netz müßte schon einiges kompromittiert sein, dass das dann noch hilft. Und fremde Clients sind mir im Zweifel egal. Also ginge das wenn überhaupt nur per Endpoint Security (auf den Geräten die man in der Verwaltung hat), aber alle anderen Clients und Gerätschaften, auf denen man Passwort und Mailadresse/Username eintragen kann, sind dann immer noch dabei.

Edited by NorbertFe
Link to post
vor 6 Minuten schrieb NorbertFe:

Stellt sich halt die Frage, was die anders machen, als ihr aktuell? :)

Wenn ich mir die Screenshots des Profil Managers und die Beschreibung anschaue, finde ich keinen Unterschied zu meinem Tests. Bzw. spiegeln meine Tests unsere Routine beim Einrichten eines Exchange Kontos wieder. Lediglich die MS Office Version unterscheidet sich. Ich benutze natürlich den aktuellen Build 16.0.5215, die Sicherheitsforscher 16.0.13901.

Ich habe bei meinen Tests auch die unverschlüsselte Einrichtung des Profils getestet. Darauf bezieht sich die Sicherheitslücke mit der Übermittlung der Account-Daten über Port 80. Beim Einrichten eines Exchange Profils würde man natürlich die Abfrage nach einem unverschlüsselten Einrichten des Kontos (nach Fehlschlag der verschlüsselten Verbindung) nicht durchführen, sondern auf Fehlersuche gehen.

Edited by winmadness
Link to post

Wäre ja nicht das erste Mal, dass MS das schon fixt während es hochkommt. ;) Ich denke Outlook und MS Clients sind vermutlich sowieso die einzigen Stellen an denen MS kurzfristig ansetzen kann. Der "arme Exchange" kann ja eigentlich gar nix dafür. ;)

 

Ich zitiere mal auf dem Heise Artikel:

Zitat

Admins, die nicht auf die, erfahrungsgemäß eher zähen, Versuche zur Absicherung des Protokolls durch Microsoft warten wollen (vergleiche die Konsequenzen beim großen Exchange-Hack Anfang des Jahres), sollten die Konfiguration ihrer Netzwerke absichern. Die Guardicore-Forscher empfehlen, Firewall-Regeln so anzupassen, dass alle Anfragen an autodiscover.TLD-Domains geblockt werden. Dafür stellen die Forscher eine Liste entsprechender gefährlicher Domains auf GitHub bereit.

Außerdem sollte bei der Konfiguration von Exchange die einfache HTTP-Authentifizierung deaktiviert werden, damit Anmeldedaten nicht im Klartext verschickt werden.

Ja Standard-Auth is doof, aber das löst doch das Problem nicht, wenn ich das an meinem Exchange deaktiviere. Und die Firewall-Rules, siehe oben. Das bringts doch auch nicht unbedingt, oder?

Edited by NorbertFe
  • Like 2
Link to post
vor 2 Minuten schrieb NorbertFe:

Wäre ja nicht das erste Mal, dass MS das schon fixt während es hochkommt. ;) Ich denke Outlook und MS Clients sind vermutlich sowieso die einzigen Stellen an denen MS kurzfristig ansetzen kann. Der "arme Exchange" kann ja eigentlich gar nix dafür. ;)

Sehe ich genau so. Deshalb bin ich etwas verwundert über die "Alarmmeldung". Entweder das Testszenario ist nicht sauber beschrieben oder der Fehler wurde bereits behoben.

Link to post

Ich vermute Alarm wegen Exchange!!!11EinsElf

Was definitiv nicht das Problem kleinreden soll. Denn das Verhalten ist definitiv ein Problem, hat aber meiner aktuell Meinung nach nur deswegen überhaupt mit Exchange zu tun, weil Autodiscover genutzt wird.

vor 43 Minuten schrieb winmadness:

Danke für das Feedback. Ich habe eine ausführliche Beschreibung der Sicherheitslücke unter https://www.guardicore.com/labs/autodiscovering-the-great-leak/  gefunden. In dem Auszug aus dem Webserver Protokoll ist die Outlook Version zu sehen - Windows 10 mit MS Office 2016 bzw. 2019 bzw. Microsoft 365 (sofern ich das richtig interpretiere):

 

Nachtrag:

Unter https://docs.microsoft.com/de-de/officeupdates/update-history-office-2019 habe ich Infos bzgl. der Buildnummer 13901 gefunden. Diese betreffen die MS Office 2016 / 2019 Version im Zeitraum April / März 2021

Im anderen Screenshot ist noch 16.0.9029 zu sehen, was nochmal deutlich älter sein dürfte.

Edited by NorbertFe
Link to post

Im Heise-Artikel findet sich ein Hinweis auf das verwendete Autodiscover Protokoll:

Zitat

Dass Outlook und Exchange hier einfache, HTTP-authentifizierte Klartext-Anmeldedaten an irgendwelche unbekannten Server verschicken ist ein riesiges Problem. Zwar untersuchten die Forscher nur eine Version (basierend auf Plain Old XML oder POX) von vielen des Autodiscover-Protokolls und es gelang ihnen auch bei weitem nicht in allen möglichen Konfigurationen Daten auszulesen, der Erfolg ihrer Datenspionage im öffentlichen Netz mit den selbst registrierten Domains sollte allerdings zu denken geben.

Kann einer beurteilen, bei welchen Clients POX im Autodiscover Protokoll verwendet wird? Anscheinen nicht bei MS Outlook 2016. Ich habe noch einen weiteren Test durchgeführt. Outlook verbindet sich bei meinem Client über eine VPN Verbindung. Also Outlook gestartet und mit Exchange verbunden, VPN Verbindung getrennt und dann den in Outlook integrierten "E-Mail-Autokonfigurations-Test" durchgeführt. Auch hier werden nur Domain / Subdomain von firma.com abgefragt, keine Anfrage an autodiscover.com.

 

Nachtrag:

Ich habe in der MS Dokumentation eine Beschreibung des POX Formates inkl. folgenden Hinweis gefunden:

Zitat

Für Clients, die auf Versionen von Exchange ab Exchange Server 2010 abzielen, wird empfohlen, den SOAP-AutoErmittlungsdienst anstelle des POX-AutoErmittlungsdiensts zu verwenden. Clients, die auf Exchange 2007 Zielen, müssen den POX-AutoErmittlungsdienst verwenden. Es wird empfohlen, dass Clients, die das .NET Framework verwenden, den verwaltete EWS-API verwenden, da er einen robusten und bewährten POX-Auto Ermittlungs Client enthält. Weitere Informationen zum verwaltete EWS-API finden Sie unter Erste Schritte mit verwaltete EWS-API-Clientanwendungen

 

Edited by winmadness
POX Spezifizierung
Link to post
vor 26 Minuten schrieb winmadness:

Kann einer beurteilen, bei welchen Clients POX im Autodiscover Protokoll verwendet wird?

Also ich nicht, aber selbst wenn, wirst du dann deinen Usern sagen, das dürft ihr aber nicht verwenden? Verhindern kannst du es ja technisch nicht. ;)

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...