[MS/Microsoft Exchange 5.5] Schwachstelle in Microsoft Exchange
(2002-07-25 16:43:30.219723+00)
Quelle:
http://cert.uni-stuttgart.de/archive/ms/2002/07/msg00005.htmlDer Exchange 5.5 Internet Mail Connector (IMC) weist eine Pufferüberlaufschwachstelle bei der Verarbeitung des EHLO-SMTP-Kommandos auf.
Betroffene Systeme
- Microsoft Exchange Server 5.5
Nicht betroffene Systeme
- Microsoft Exchange Server 2000
Einfallstor
Ein Angreifer hat zwei Optionen:
- direkte SMTP-Verbindung (TCP-Port 25) und Kontrolle des DNS-Reverse Mapping des SMTP-Clients
- Zustellung einer Nachricht (auch über ein Relay) und DNS-Spoofing des Reverse Mappings des beim Exchange-Server einliefernden SMTP-Servers (also des Relays).
Auswirkung
Denial of Service (DoS) sowie Ausführung beliebigen Programmcodes mit den Privilegien des Exchange-Dienstes.
Typ der Verwundbarkeit
buffer overflow bug
Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Der Exchange 5.5 Internet Mail Connector (IMC), der für die Verarbeitung und Generierung einer Rückantwort auf den SMTP-Befehl "EHLO" (extended Hello) gemäß RFC1869 zuständig ist, weist eine Pufferüberlaufschwachstelle auf. Ein Angreifer kann dadurch beliebigen Code mit den Privilegien des Exchange-Dienstes ausführen.
Für die Ausnützung der Schwachstelle muss der Angreifer Kontrolle über das Reverse Mapping von DNS besitzen. Falls der Angriff über DNS-Spoofing erfolgt, kann die Schwachstelle auch über ein Relay ausgenutzt werden. Falls der Angreifer lediglich eine DNS-Zone fürs Reverse Mapping entsprechend manipulieren kann, wird er in der Regel zusätzlich eine direkte Verbindung zum SMTP-Server aufbauen müssen.
Workaround
- Gemäß Q190026 kann das Reverse DNS Lookup (bei EHLO) deaktiviert werden.
Gegenmaßnahmen
Microsoft stellt einen Patch zur Verfügung:
- Microsoft Exchange 5.5 Service Pack 4:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40666
Vulnerability ID
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS02-037 Server Response To SMTP Client EHLO Command Results In Buffer Overrun (Q326322)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=896