Datenleck in Lotus Notes
Eine Schwachstelle in Lotus Notes erleichert es Angreifern, die Konten anderer Anwender zu knacken und sich in deren Kontext am Server anzumelden.
Eine Schwachstelle in Lotus Notes erleichert es Angreifern, die Konten anderer Anwender zu knacken und sich in deren Kontext am Server anzumelden. Aufgrund eines Fehler bei den Notes Remote Procedure Calls (NRPC) lassen sich Lotus-Notes-User-ID-Dateien während des Setups eines Clients vom Server ohne vorherige Authentifizierung herunterladen. Alles, was ein Angreifer dazu wissen muss, ist ein gültiger Anmeldenname eines anderen Anwenders. Voraussetzung ist allerdings, dass der Notes-Server über Port 1352 erreichbar ist.
Die ID-Datei dient unter Lotus Notes zu Authentifizierung gegenüber dem Server und ist kennwortgeschützt. Allerdings gibt es diverse Tools, um die Passphrase mittels Brute-Force oder Wörterbuch-Attacke zu knacken – je simpler die Passphrase, desto eher führt ein Angriff zum Erfolg.
Die Entdecker der Schwachstelle, der Sicherheitsdienstleister Fortconsult, beschreibt in seinem Fehlerbericht die Vorgehensweise eines solchen Angriffs und welche Tools dafür erforderlich sind. IBM wurde über das Problem im Mai 2006 informiert und benötigte einige Zeit, um Abhilfe in die Wege zu leiten. Nach Angaben von Fortconsult bieten die neuesten Lotus-Notes-Versionen eine Option, mit der sich das Herunterladen von ID-Dateien ohne Authentifizierung blockieren lässt.
Siehe dazu auch:
- Lotus Notes Pre-Login Informatioin Leakage, Fehlerbericht von Fortconsult
- IBM Lotus Notes information leakage on port 1352, Fehlerbericht und Workaround von IBM
(dab)
