Microsoft patcht ISA- und Exchange Server

Microsofts Januar-Patch-Day bringt unter anderem Fehlerbereinigungen für eine gravierende Schwachstelle im ISA Server 2000 und einen Bug in Exchange Server 2003. Den Endanwender lässt Microsft dagegen mit zwei unbeseitigten IE-Löchern im Regen stehen.

Der Microsoft Internet Security and Acceleration Server 2000 (ISA) weist eine gravierende Sicherheitslücke in der H.323-Protokollimplementation auf. Über diese können externe Angreifer das System zum Absturz bringen oder sogar vollen Systemzugriff erhalten. Die Schwachstelle beruht auf einer Reihe von Fehlern bei der Verarbeitung von H.323-Datenverkehr über TCP. Diese ermöglichen dem Angreifer, einen Pufferüberlauf zu provozieren. Die Attacke erfolgt durch Senden entsprechend präparierter Nachrichten an das System.

Der fehlerhafte H.323-Filter ist auf Systemen im integrierten oder im Firewall-Modus per Default aktiviert. Server im Cache-Modus sind dagegen nicht betroffen, da der Microsoft Firewall Service dort deaktiviert ist. Als Work-arounds empfiehlt Microsoft, den H.323-Filter zu deaktivieren oder den entsprechenden Port 1720/tcp bereits am Perimeter zu blockieren. H.323-basiertende VoIP- oder Collaboration-Applikationen funktionieren dann natürlich nur noch intern. Deswegen rät Microsoft zum umgehenden Einspielen des entsprechenden Patches.

Der Exchange Server 2003 weist einen eher kuriosen als gefährlichen Bug auf, der das Zusammenspiel mit Outlook Web Access (OWA) betrifft. Er führt dazu, dass über OWA zugreifende Benutzer statt in der eigenen Mailbox im Postfach eines anderen Benutzers landen, der kurz zuvor - ebenfalls über OWA - darauf zugegriffen hat. Sowohl der Zeitpunkt des Auftretens als auch die angesteuerte Mailbox sind rein zufällig, so dass ein systematischer Angriff nicht möglich ist. Aufgefallen war der Bug erstmals im November.

Ursache ist ein Verwirrspiel bei der Authentifizierung zwischen Exchange-Server im Backend und OWA-Frontend-Server. Per Voreinstellung erfolgt diese über Kerberos, wo der Fehler nicht auftritt. Unter gewissen Umständen, etwa nach der Installation der Microsoft Sharepoint Services auf dem Exchange-Backend, schalten die Server jedoch auf NTLM-Authentifizierung um, was das seltsame Verhalten auslöst. Abstellen lässt es sich über den jetzt veröffentlichten Patch.

Neben diesen beiden Sicherheitslöchern hat Microsoft noch noch eine gravierende Schwachstelle in den Data Access Components gestopft. Unglaublich, aber wahr: Die gravierenden Lücken im Internet Explorer bleiben weiter offen! Weder für die URL-Spoofing-Lücke noch für die von Lie Die Yu entdeckten Schwachstellen beim Active Scripting, über die Websites Code auf den Rechner schieben und ausführen können, liefert Microsoft einen Patch. Damit erweist sich Microsofts vollmundige Verpflichtung zu "Trustworthy Computing" einmal mehr als heiße Luft. (jlu)

tecCHANNEL Buch-Shop

Literatur zum Thema Client Server

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50% billiger als Buch)

Downloads

tecCHANNEL Preisvergleich & Shop

Produkte

Info-Link

XXX

Preise und Händler