Schwachstellen in Exchange Server

Microsoft meldet in den Bulletins MS03-046 und MS03-47 Fehler im Mail-Server Exchange. Mit einem manipulierten Kommando (Extended Verb) unter SMTP kann man Exchange 5.5 zum Absturz bringen. Bei Version 2000 kann ein Angreifer zusätzlich beliebigen Code auf den Stack schreiben und anspringen. Administratoren sollten den Patch KB 829436 einspielen. Zum Senden von SMTP-Kommandos ist keine vorherige Authentifizierung notwendig. Zum Schutz vor Angriffen aus dem Internet sollte Port 25 auf der Firewall blockiert sein, im Intranet muss der Port zur Auslieferung von Mails aber weiterhin erreichbar sein.

Ist in Exchange 5.5 Outlook Web Access (OWA) aktiviert, sind Cross-Site-Scripting-Angriffe möglich. Mit OWA können Anwender mit einem normalen Browser auf ihre Mails zugreifen. Links in manipulierten HTML-Mails können versteckte JavaScripte enthalten. Klickt ein OWA-Anwender solch einen Link an, so filtert Exchange den Script-Code nicht aus und sendet ihn an den Benutzer. Sofern Active Scripting aktiviert ist, startet der Code im Browser in der Sicherheitszone des Exchange Server, -- in der Regel "Vertrauenswürdige Sites". OWA ist standardmäßig deaktiviert. Hotfix KB 828489 stopft die Sicherheitslücke. (dab)