Ontwerpfout in Microsoft Exchange-protocol lekt inloggegevens

Abonneer je gratis op Techzine!

Een ontwerpfout in Microsoft Exchange zorgt ervoor dat inloggegevens makkelijk naar niet-geauthenticeerde gebruikers kunnen worden gelekt. Dit ontdekte onlangs een medewerker van securityspecialist Guardicore.

Volgens Guardicore betreft de nu aangetroffen ontwerpfout in de MS Exchange e-mailserver een ontwerpfout in het Microsoft Autodiscover-protocol. Dit protocol moet binnen MS Exchange de configuratie van clients, zoals het mailprogramma Outlook, vergemakkelijken. Het protocol stelt eindgebruikers in staat om hun Outlook-client helemaal te configureren door alleen een gebruikersnaam en wachtwoord in te voeren.

De rest van de configuratie wordt helemaal door het Autodiscover-protocol afgehandeld. Hier zit volgens de onderzoekers juist de ontwerpfout. Voor de automatische configuratie ‘pingen’ de e-mailclients een serie van voorgedefinieerde URL’s. Als zij van deze URL’s geen antwoord krijgen, dan wordt een zogenoemd ‘back-off’-algoritme gebruikt dat het Autodiscover-protocol met een top-level domein gebruikt.

Onderzoek naar top level-domein

Dit gebruik van een top level-domein kon wel eens een achilleshiel zijn, zo dacht de medewerker van Guardicore. In een test zijn daarom een aantal verschillende top-level domeinen met de naam Autodiscover geregistreerd en in een honey pot gezet. De honey pot ontving honderden verzoeken per dag met duizenden inloggegevens van eindgebruikers die e-mailclients willen opzetten.

De onderzoekers constateerden hieruit dat aan de kant van de client niet werd gecheckt of de bron beschikbaar was of zelfs eerder op de server aanwezig is geweest voordat een geauthenticeerd verzoek werd verstuurd. Op deze manier is het dus heel makkelijk inloggegevens te verzamelen en eventueel te misbruiken.

Veel gegevens openbaar

In totaal werden er door Guardicore tijdens de test 372.072 inloggegevens en wachtwoorden voor Windows-domeinen verzameld en 96.671 inloggegevens voor Outlook. Deze ‘gevonden’ gegevens waren onder meer afkomstig van banken, bedrijven uit de foodsector, energieleveranciers, rederijen en logistieke bedrijven. Dit betekent dat als hackers actief waren geweest, serieuze schade had kunnen worden aangericht.

Reactie Microsoft

In een reactie geeft Microsoft aan dat de bevindingen van Guardicore hen hebben overvallen. Volgens de techgigant gaat het altijd goed om met gevonden kwetsbaarheden te komen, maar is de nu aangetroffen kwetsbaarheid niet eerder bij hen gemeld voordat het openbaar werd. Wel geeft Microsoft aan actie te ondernemen.