Categories: Cybersicherheit

Neue Zero-Day-Lücken in Exchange Server erlauben Datendiebstahl

Die Zero Day Initiative (ZDI) hat Details zu vier Zero-Day-Lücken in Exchange Server veröffentlicht. Microsoft sind die Schwachstellen bereits seit Anfang September bekannt. Laut ZDI stuft der Softwarekonzern den Schweregrad der vier Anfälligkeiten jedoch als so gering ein, dass eine zeitnahe Bereitstellung eines Patches nicht notwendig sei.

Drei der vier Sicherheitslücken erlauben Server-Side-Request-Forgery-Angriffe (SSRF). Angreifer sollen in der Lage sein, aus der Ferne vertrauliche Informationen auszuspähen. Allerdings können die drei Schwachstellen erst nach einer vorherigen Authentifizierung ausgenutzt werden.

In allen drei Fällen prüft Exchange Eingaben für einen Uniform Resource Identifier (URI) vor dem Zugriff auf eine Ressource nicht ausreichend. Das gilt für die Methoden CreateAttachmentFromUri, DownloadDataFromOfficeMarketPlace und DownloadDataFromUri. Daten lassen sich daraufhin jeweils im Kontext des Exchange Servers auslesen.

In einem Blogeintrag widerspricht Piotr Bazydlo, Vulnerability Researcher bei ZDI, der Bewertung der Schwachstellen durch Microsoft. „Wie üblich liegt die Wahrheit irgendwo dazwischen. Was wie eine SSRF aussieht, kann manchmal tatsächlich eine beabsichtigte Funktion sein. Dennoch kann ein Angreifer diese Funktion missbrauchen, um sensible Informationen entweder aus der Anwendung, die das SSRF enthält, oder aus nicht damit verbundenen internen Systemen offenzulegen.“

Seiner Einschätzung nach kann ein Angreifer derzeit über die Funktion CreateAttachmentFromUri bestimmte Daten von einem Exchange Server anfordern, die dann automatisch als Datei an einen Nachrichtenentwurf angehängt werden. In Bezug auf die benötigte Authentifizierung verweist Bazydlo darauf, dass ein Angreifer lediglich die Kontrolle über ein auf dem Exchange Server gehostetes Postfach übernehmen muss – was bei großen Organisationen Hunderte oder gar Tausende mögliche Ziele seien, um einen Exchange Server zu kompromittieren.

In seinem Blogbeitrag beschreibt der Forscher seinen Angriff und verlinkt auch ein Video, das die Attacke zeigt. „Die Bewertung von Problemen mit Server Side Request Forgery kann schwierig sein und zu Unstimmigkeiten führen“, räumt Bazydlo ein. „Solche Schwachstellen wirken sich oft nicht auf das Produkt aus, in dem sie vorhanden sind, was ein häufig zu hörendes Argument von Anbietern ist. Sie können jedoch als Zugangsweg für externe Angreifer genutzt werden, um in die eingeschränkten Bereiche von Netzwerken zu gelangen und so Auswirkungen auf andere Systeme in der Unternehmensumgebung zu haben. Daher würde ich den Anbietern empfehlen, SSRF ernst zu nehmen und die Funktionalität, die die Weiterleitung beliebiger Anfragen beinhaltet, neu zu bewerten.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

3 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

7 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

1 Woche ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Woche ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

1 Woche ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

1 Woche ago