Microsofts Email-Programme mit seit Jahren bekannter Sicherheitslücke

Seit Jahren weisen Hacker auf eine Sicherheitslücke bei den Email-Programmen Exchange und Outlook von Microsoft hin. Der Konzern will es seinen Nutzern besonders einfach machen, doch das hat eine (gravierende) Schwachstelle. Gibt ein Nutzer nur seine Email-Adresse mit Anmeldedaten ein, versuchen die Programme, automatisch den passenden Server zu kontaktieren und die richtigen Einstellungen in das jeweilige Mailprogramm zu laden. Die entsprechende Funktion Autodiscover versucht zunächst, aus der Email-Adresse den passenden Server abzuleiten. Wird z.B. "MaxMustermann@xyz.de" eingegeben, versucht Autodiscover den Gegenpunkt autodiscover.xyz.de zu kontaktieren. Schlägt das aber fehl, setzt die Funktion allerdings aus den bekannten Information "autodiscover", "xyz" und Topleveldomain andere Möglichkeiten zusammen und versucht diese zu kontaktieren, ohne beim User nachzufragen. Dabei kann dann auch die Kombination autodiscover.TLD angefragt werden und dummerweise gehören all diese Autodiscover-Adressen NICHT Microsoft. So ist es Sicherheitsforschern der Firma Guardicore gelungen, sich Autodiscover für es, .fr, .in, .it, .sg, .uk, .com.br, .com.cn, .com.co, .xyz und .online zu sichern. Das Ergebnis waren in 4 Monaten Anmeldedaten für fast 100.000 Microsoft-Konten im Klartext. Wahrscheinlich wäre deutlich mehr drin gewesen, doch die Domains autodiscover.de und autodiscover.com waren schon vergeben ...

Besonders ärgerlich an der Sache ist, dass bereits 2017 Shape Security detailliert über ganz ähnliche Probleme mit Autodiscover bei mobilen Mail-Programmen berichtet hatte.