Exchange Server 5.5: Lücke im Web Access

Benutzer des Outlook Web Access von Exchange Server 5.5 laufen Gefahr, die Kontrolle über ihre Mailbox zu verlieren. Ein Angreifer kann durch eine präparierte HTML-Mail eine Lücke ausnutzen, gegen die Microsoft jetzt einen Patch anbietet.

Die Sicherheitslücke ist auf die Mailbox des Benutzers beschränkt. Laut Microsoft kann weder der PC, auf dem der Outlook-Client läuft, noch der Exchange Server selbst manipuliert werden. Microsoft stuft die Lücke deshalb als moderat ein. Da in Mailboxen von Unternehmen mit Exchange Server oft unternehmenskritische Informationen landen, kann man darüber geteilter Meinung sein.

Zwei Dinge sind für den erfolgreichen Angriff relevant: Der Angreifer muss wissen, welche Version des Outlook Web Access-Service eingesetzt wird - nur der Service von Exchange 5.5 ist laut Microsoft anfällig - und die Mail muss tatsächlich im Outlook Web Access geöffnet werden. Das Skript, das eine präparierte HTML-Mail mitbringen muss, wird dann ausgeführt. Um zu funktionieren, setzt der Outlook Web Access aktivierte Skripting-Einstellungen voraus.

So erlangt der Angreifer alle Benutzerrechte, die der User für seine Mailbox besitzt. Der Zugang zu anderen Outlook-Diensten, wie etwa dem Adressbuch, bleibt verwehrt. Microsoft stellt einen Patch zur Verfügung, der das Problem beheben soll. Security Bulletin MS 01-57 mit weiteren Informationen und Links zum Patch finden Sie hier. (uba)