zurück zum Artikel

Microsoft prüft eine mögliche Sicherheitslücke in Exchange Server 2003: Über den Outlook Web Access kann man sich in angeblich in fremde Mail-Accounts einloggen.

Nach Meldungen auf der Sicherheits-Mailingliste Bugtraq [1] gibt es eine Sicherheitslücke in Microsoft Exchange Server 2003: Über Outlook Web Access kann man sich angeblich in fremde Mail-Accounts einloggen. Matthew Johnson, Administrator eines US-Unternehmens, berichtete von dem Fehler bereits vor einigen Tagen: "Dies scheint ein großes Sicherheitsmanko zu sein und wir mussten Outlook Web Access deswegen bis auf weiteres deaktivieren", schrieb er. Das Feature Outlook Web Access ermöglicht Nutzern des neuen Exchange Server 2003 [2], mittels Webbrowser auf ihre Exchange-Mail zuzugreifen.

Microsoft untersucht den Fehler inzwischen; man geht allerdings in Redmond davon aus, dass sich die Lücke nur ausnutzen lasse, wenn die Kerberos-Authentifizierung deaktiviert sei -- dies ist standardmäßig nicht der Fall. Johnson glaubt aber nicht an diese Analyse: Er habe die Default-Konfiguration des Exchange-Servers nicht verändert, weshalb Kerberos hätte aktiviert sein müssen -- das Sicherheitsloch war laut Johnson aber dennoch vorhanden.

Johnson hatte das Problem bereits vor zwei Monaten Microsoft direkt beschrieben. Dort ist man aber noch dabei, Patches zu testen. Offizielle Informationen dazu gibt es zumindest auf Microsofts Webseiten noch nicht -- sobald man die Untersuchung abgeschlossen hat, wolle man aber genaue Informationen und gegebenenfalls einen Patch liefern. Aus Sicherheitsgründen sollte man bis zur Klärung des Problems Outlook Web Access im Exchange Server 2003 deaktivieren. (pab)

URL dieses Artikels:
https://www.heise.de/-89171

Links in diesem Artikel:
[1] http://www.securityfocus.com/archive/1
[2] https://www.heise.de/news/Exchange-2003-ist-fertig-81459.html

Copyright © 2003 Heise Medien