Die Zero Day Initiative (ZDI) hat Details zu vier Zero-Day-Lücken in Exchange Server veröffentlicht. Microsoft sind die Schwachstellen bereits seit Anfang September bekannt. Laut ZDI stuft der Softwarekonzern den Schweregrad der vier Anfälligkeiten jedoch als so gering ein, dass eine zeitnahe Bereitstellung eines Patches nicht notwendig sei.
Drei der vier Sicherheitslücken erlauben Server-Side-Request-Forgery-Angriffe (SSRF). Angreifer sollen in der Lage sein, aus der Ferne vertrauliche Informationen auszuspähen. Allerdings können die drei Schwachstellen erst nach einer vorherigen Authentifizierung ausgenutzt werden.
In allen drei Fällen prüft Exchange Eingaben für einen Uniform Resource Identifier (URI) vor dem Zugriff auf eine Ressource nicht ausreichend. Das gilt für die Methoden CreateAttachmentFromUri, DownloadDataFromOfficeMarketPlace und DownloadDataFromUri. Daten lassen sich daraufhin jeweils im Kontext des Exchange Servers auslesen.
In einem Blogeintrag widerspricht Piotr Bazydlo, Vulnerability Researcher bei ZDI, der Bewertung der Schwachstellen durch Microsoft. „Wie üblich liegt die Wahrheit irgendwo dazwischen. Was wie eine SSRF aussieht, kann manchmal tatsächlich eine beabsichtigte Funktion sein. Dennoch kann ein Angreifer diese Funktion missbrauchen, um sensible Informationen entweder aus der Anwendung, die das SSRF enthält, oder aus nicht damit verbundenen internen Systemen offenzulegen.“
Seiner Einschätzung nach kann ein Angreifer derzeit über die Funktion CreateAttachmentFromUri bestimmte Daten von einem Exchange Server anfordern, die dann automatisch als Datei an einen Nachrichtenentwurf angehängt werden. In Bezug auf die benötigte Authentifizierung verweist Bazydlo darauf, dass ein Angreifer lediglich die Kontrolle über ein auf dem Exchange Server gehostetes Postfach übernehmen muss – was bei großen Organisationen Hunderte oder gar Tausende mögliche Ziele seien, um einen Exchange Server zu kompromittieren.
In seinem Blogbeitrag beschreibt der Forscher seinen Angriff und verlinkt auch ein Video, das die Attacke zeigt. „Die Bewertung von Problemen mit Server Side Request Forgery kann schwierig sein und zu Unstimmigkeiten führen“, räumt Bazydlo ein. „Solche Schwachstellen wirken sich oft nicht auf das Produkt aus, in dem sie vorhanden sind, was ein häufig zu hörendes Argument von Anbietern ist. Sie können jedoch als Zugangsweg für externe Angreifer genutzt werden, um in die eingeschränkten Bereiche von Netzwerken zu gelangen und so Auswirkungen auf andere Systeme in der Unternehmensumgebung zu haben. Daher würde ich den Anbietern empfehlen, SSRF ernst zu nehmen und die Funktionalität, die die Weiterleitung beliebiger Anfragen beinhaltet, neu zu bewerten.“
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…