Categories: Cybersicherheit

Neue Zero-Day-Lücken in Exchange Server erlauben Datendiebstahl

Die Zero Day Initiative (ZDI) hat Details zu vier Zero-Day-Lücken in Exchange Server veröffentlicht. Microsoft sind die Schwachstellen bereits seit Anfang September bekannt. Laut ZDI stuft der Softwarekonzern den Schweregrad der vier Anfälligkeiten jedoch als so gering ein, dass eine zeitnahe Bereitstellung eines Patches nicht notwendig sei.

Drei der vier Sicherheitslücken erlauben Server-Side-Request-Forgery-Angriffe (SSRF). Angreifer sollen in der Lage sein, aus der Ferne vertrauliche Informationen auszuspähen. Allerdings können die drei Schwachstellen erst nach einer vorherigen Authentifizierung ausgenutzt werden.

In allen drei Fällen prüft Exchange Eingaben für einen Uniform Resource Identifier (URI) vor dem Zugriff auf eine Ressource nicht ausreichend. Das gilt für die Methoden CreateAttachmentFromUri, DownloadDataFromOfficeMarketPlace und DownloadDataFromUri. Daten lassen sich daraufhin jeweils im Kontext des Exchange Servers auslesen.

In einem Blogeintrag widerspricht Piotr Bazydlo, Vulnerability Researcher bei ZDI, der Bewertung der Schwachstellen durch Microsoft. „Wie üblich liegt die Wahrheit irgendwo dazwischen. Was wie eine SSRF aussieht, kann manchmal tatsächlich eine beabsichtigte Funktion sein. Dennoch kann ein Angreifer diese Funktion missbrauchen, um sensible Informationen entweder aus der Anwendung, die das SSRF enthält, oder aus nicht damit verbundenen internen Systemen offenzulegen.“

Seiner Einschätzung nach kann ein Angreifer derzeit über die Funktion CreateAttachmentFromUri bestimmte Daten von einem Exchange Server anfordern, die dann automatisch als Datei an einen Nachrichtenentwurf angehängt werden. In Bezug auf die benötigte Authentifizierung verweist Bazydlo darauf, dass ein Angreifer lediglich die Kontrolle über ein auf dem Exchange Server gehostetes Postfach übernehmen muss – was bei großen Organisationen Hunderte oder gar Tausende mögliche Ziele seien, um einen Exchange Server zu kompromittieren.

In seinem Blogbeitrag beschreibt der Forscher seinen Angriff und verlinkt auch ein Video, das die Attacke zeigt. „Die Bewertung von Problemen mit Server Side Request Forgery kann schwierig sein und zu Unstimmigkeiten führen“, räumt Bazydlo ein. „Solche Schwachstellen wirken sich oft nicht auf das Produkt aus, in dem sie vorhanden sind, was ein häufig zu hörendes Argument von Anbietern ist. Sie können jedoch als Zugangsweg für externe Angreifer genutzt werden, um in die eingeschränkten Bereiche von Netzwerken zu gelangen und so Auswirkungen auf andere Systeme in der Unternehmensumgebung zu haben. Daher würde ich den Anbietern empfehlen, SSRF ernst zu nehmen und die Funktionalität, die die Weiterleitung beliebiger Anfragen beinhaltet, neu zu bewerten.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago