Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-377

[MS/Exchange] Schwachstelle im Exchange 5.5/2000 Server OWA
(2001-06-09 10:32:31+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/MS01-030.asp

Wie jetzt bekannt wurde, ist von der bereits beschriebenen Schwachstelle im Exchange 2000 Outlook Web Access (OWA) auch Exchange 5.5 betroffen. Ferner war der von Microsoft veröffentlichte Patch für Exchange 2000 fehlerhaft. Microsoft stellt nun einen korrigierten Patch zur Verfügung.

Betroffene Systeme

Typ der Verwundbarkeit
Designschwäche (design flaw):
Bei Benutzung von OWA mittels IE finden keine Sicherheitsüberprüfungen eventuell vorhandener Attachments statt.

Auswirkung
Beim Öffnen von Attachments (mittels dem IE und OWA) kann beliebiger Programmcode mit den Privilegien des Benutzers ausgeführt werden.

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung (Wiederholung)
Der Microsoft Exchange 5.5/2000 Outlook Web Access (OWA) Dienst erlaubt webbasierten Zugriff auf die Exchange Mailbox. Es existiert eine Schwachstelle im Zusammenspiel des OWA Dienstes und dem Internet Explorer beim Öffnen von Attachments. Durch diese Schwachstelle kann beim Öffnen von arglistigen Attachments, die HTML Code (und darin enthaltener Scriptcode) beinhalten, ohne weitere Warnung (bzw. Dialogbox) bösartiger Programmcode ausgeführt werden. Der Programmcode würde mit den Privilegien des Benutzers ausgeführt und könnte beispielsweise Manipulationen an der Mailbox des Benutzers durchführen.

Diese Schwachstelle kann von einem Angreifer nur dann ausgenutzt werden, falls der Benutzer für seinen webbasierten Zugriff auf Exchange 5.5/2000 Server (Outlook Web Access) den Internet Explorer einsetzt. Bei der Verwendung von anderen Webbrowsern und OWA tritt diese Schwachstelle nicht auf.

Gegenmaßnahmen
Der von Microsoft zuerst veröffentlichte Patch für Exchange 2000 ist fehlerhaft. Es wird angeraten den korrigierten Patch zu installieren.

Nach Angaben von Microsoft kann der Patch für den Exchange 5.5 auf allen (Sprach)-Plattformen installiert werden.

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=377