Eine problematische Implementierung von Autodiscover ist offenbar anfällig für Angriffe. Microsoft versucht nun, Angreifern zuvorzukommen.

Das Autodiscover-Protokoll von Microsoft Exchange soll es Nutzern einfach machen, neue E-Mail-Konten einzurichten. Bei manchen Implementierungen ermöglicht es aber offenbar auch Angreifern, deren Passwörter abzugreifen. Will man sein existierendes Mailkonto einrichten, versucht Autodiscover, verschiedene automatisch abgeleitete URLs zu erreichen. Sicherheitsforscher von Guardicore haben daraus einen Angriff entwickelt, bei dem sie in manchen Fällen E-Mail-Adressen und Passwörter im Klartext erhielten.

Autodiscover könnte bei fantasie@adresse.de nicht nur versuchen, eine URL wie ..



.. zu erreichen, sondern am Ende auch ..



In manchen Fällen schickten die Clients ohne vorige Authentifizierung die Anmeldedaten unverschlüsselt via Basic Authentification. Die Sicherheitsforscher von Guardicode registrierten für ihre Untersuchung elf verschiedene Domains wie ...