Patch für Web Access von Exchange 2000 Server

Microsoft stopft per Patch eine Lücke im Outlook Web Access-Service (OWA) von Exchange 2000 Server. Mittels manipuliertem Mail-Anhang könnte sich ein Angreifer sonst mit allen Benutzerrechten an der Exchange-Mailbox vergreifen.

Der Outlook Web Access Service bietet Zugang zum Mail-Postfach via Browser. Internet Explorer und OWA sind sich aber nicht einig darüber, wie Mails behandelt werden sollen, die HTML-Attachements enthalten. OWA sollte dem Benutzer eigentlich den gewohnten Dialog einblenden, und fragen ob er den Anhang öffnen oder speichern will. Das funktioniert im Zusammenspiel mit dem Internet Explorer nicht. Der IE rendert den Anhang und alles, was er darin an Code findet, ohne Rückfrage im Namespace des Exchange 2000 Server. Andere Browser handeln nicht derart unbekümmert und sind deshalb nicht von der Lücke betroffen.

Voraussetzung für einen erfolgreichen Angriff ist, dass die fingierte Mail und das Attachement tatsächlich über das Web-Interface von OWA geöffnet werden. Dann aber wird Code mit allen Rechten des Benutzers auf dem Exchange Server ausgeführt. Betroffen ist laut Microsoft nur der Exchange 2000 Server, bei dem der OWA-Service außerdem automatisch installiert wird. Der Patch weist OWA an, bei Attachements den Öffnen-/Speichern-Dialog einzublenden. Das zugehörige Security Bulletin MS 01-030 und den Patch finden Sie hier. (uba)