Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-373

[MS/Exchange] Schwachstelle im Exchange 2000 Server Outlook Web Access
(2001-06-07 10:29:16+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/06/msg00065.html

Durch eine Schwachstelle im Zusammenspiel des Outlook Web Access (OWA) Dienstes von Microsoft Exchange 2000 Servern und dem Internet Explorer, kann beim Öffnen von Attachments darin enthaltener HTML Code (der Scriptcode beinhalten kann) ausgeführt werden.

Betroffene Systeme

Typ der Verwundbarkeit
Designschwäche (design flaw):
Bei Benutzung von OWA mittels IE finden keine Sicherheitsüberprüfungen eventuell vorhandener Attachments statt.

Auswirkung
Beim Öffnen von Attachments (mittels dem IE und OWA) kann beliebiger Programmcode mit den Privilegien des Benutzers ausgeführt werden.

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Microsoft Exchange 2000 Outlook Web Access (OWA) Dienst erlaubt webbasierten Zugriff auf die Exchange 2000 Mailbox. Es existiert eine Schwachstelle im Zusammenspiel des OWA Dienstes und dem Internet Explorer beim Öffnen von Attachments. Durch diese Schwachstelle kann beim Öffnen von arglistigen Attachments, die HTML Code (und darin enthaltener Scriptcode) beinhalten, ohne weitere Warnung (bzw. Dialogbox) bösartiger Programmcode ausgeführt werden. Der Programmcode würde mit den Privilegien des Benutzers ausgeführt und könnte beispielsweise Manipulationen an der Mailbox des Benutzers durchführen.

Diese Schwachstelle kann von einem Angreifer nur dann ausgenutzt werden, falls der Benutzer für seinen webbasierten Zugriff auf Exchange 2000 Server (Outlook Web Access) den Internet Explorer einsetzt. Bei der Verwendung von anderen Webbrowsern und OWA tritt diese Schwachstelle nicht auf.

Gegenmaßnahmen
Microsoft stellt einen Patch für Exchange 2000 Server zur Verfügung. Der Patch liegt bislang nur für die us-amerikanische Version von Windows 2000/Exchange 2000 vor.

Workaround
Da diese Schwachstelle nur im Zusammenspiel des Internet Explorers und dem OWA Dienst von Exchange 2000 Servern auftritt, sollte als Übergangslösung ein anderer Webbrowser oder der Verzicht des webbasierten Zugriffs auf die Mailbox in Erwägung gezogen werden.

Generelle Empfehlung (Wh)

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=373