Microsoft sucht Bug in Exchange 2003

Microsoft prüft derzeit eine mögliche Sicherheitslücke im Outlook Web Access des neuen Exchange Server 2003. Das bestätigte ein Sprecher des Konzerns.

Den potenziellen Fehler hat ein Administrator aus Nashville/Tennessee entdeckt. Demnach ist es nicht sicher, dass ein Benutzer, der sich über die Outlook-Web-Access-Komponente des Mail-Servers einloggt, auch bei seinem Account landet. Der Administrator berichtet von Versuchen, bei denen Benutzer nach dem Einloggen Zugang zu anderen Postfächern hatten - mit allen Privilegien des eigentlichen Postfachinhabers.

Microsoft hat in einer ersten Stellungnahme das Abschalten der Kerberos-Authentifizierung für den Fehler verantwortlich gemacht. Per Default sei Kerberos aktiviert, betonte Microsoft.

Dieser These widerspricht aber der Entdecker der Lücke. Kerberos sei aktiviert gewesen und der Exchange Server habe trotz Grundkonfiguration von Microsoft die Lücke aufgewiesen.

Ein Microsoft-Sprecher bestätigte am Dienstag, dass man dabei sei, einen Patch zu entwickeln. "Es handelt sich weltweit um wenige Einzelfälle, aber wir werden so schnell wie möglich eine Korrektur anbieten", sagte Microsoft-Sprecher Frank Mihm.

Wer nicht zu den weltweit wenigen Einzelfällen gehören will, sollte den Web-Access sicherheitshalber deaktivieren. Um über Sicherheitslücken auf dem Laufenden zu bleiben, empfiehlt sich ein Blick in die Security Reports von tecCHANNEL. Den Service, der in Zusammenarbeit mit Secunia angeboten wird, können Sie auch als kostenlosen Newsletter abonnieren. (uba)