Manipulation der Mailbox über HTML-Mail
Benutzer des Outlook Web Access von Exchange Server 5.5 laufen Gefahr, die Kontrolle über ihre Mailbox zu verlieren.
Ein Angreifer kann durch eine präparierte HTML-Mail eine Lücke ausnutzen, gegen die Microsoft jetzt einen Patch anbietet.
Manipulation auf Mailbox beschränkt
Die Sicherheitslücke ist auf die Mailbox des Benutzers
beschränkt. Laut Microsoft kann weder der PC, auf dem der
Outlook-Client läuft, noch der Exchange Server selbst manipuliert
werden.
Outlook: Passwort-Klau mit spezieller URL"Moderate Lücke"
Microsoft stuft die Lücke deshalb als moderat ein.
Da in Mailboxen von Unternehmen mit Exchange Server oft unternehmenskritische Informationen landen, kann man darüber geteilter Meinung sein.
Zwei Dinge sind für den erfolgreichen Angriff relevant: Der Angreifer muss wissen, welche Version des Outlook-Web-Access-Service eingesetzt wird - nur das Service von Exchange 5.5 ist laut Microsoft anfällig - und die Mail muss tatsächlich im Outlook Web Access geöffnet werden.
Angreifer erlangt alle Benutzerrechte
Das Skript, das eine präparierte HTML-Mail mitbringen muss, wird
dann ausgeführt. Um zu funktionieren, setzt der Outlook Web Access
aktivierte Skripting-Einstellungen voraus. So erlangt der Angreifer
alle Benutzerrechte, die der User für seine Mailbox besitzt.
Linux-Client für Microsoft Exchange