Neue Zero-Day-Lücken in Exchange Server erlauben Datendiebstahl

Die Zero Day Initiative (ZDI) hat Details zu vier Zero-Day-Lücken in Exchange Server veröffentlicht. Microsoft sind die Schwachstellen bereits seit Anfang September bekannt. Laut ZDI stuft der Softwarekonzern den Schweregrad der vier Anfälligkeiten jedoch als so gering ein, dass eine zeitnahe Bereitstellung eines Patches nicht notwendig sei.

Drei der vier Sicherheitslücken erlauben Server-Side-Request-Forgery-Angriffe (SSRF). Angreifer sollen in der Lage sein, aus der Ferne vertrauliche Informationen auszuspähen. Allerdings können die drei Schwachstellen erst nach einer vorherigen Authentifizierung ausgenutzt werden.

In allen drei Fällen prüft Exchange Eingaben für einen Uniform Resource Identifier (URI) vor dem Zugriff auf eine Ressource nicht ausreichend. Das gilt für die Methoden CreateAttachmentFromUri, DownloadDataFromOfficeMarketPlace und DownloadDataFromUri. Daten lassen sich daraufhin jeweils im Kontext des Exchange Servers auslesen.

In einem Blogeintrag widerspricht Piotr Bazydlo, Vulnerability Researcher bei ZDI, der Bewertung der Schwachstellen durch Microsoft. „Wie üblich liegt die Wahrheit irgendwo dazwischen. Was wie eine SSRF aussieht, kann manchmal tatsächlich eine beabsichtigte Funktion sein. Dennoch kann ein Angreifer diese Funktion missbrauchen, um sensible Informationen entweder aus der Anwendung, die das SSRF enthält, oder aus nicht damit verbundenen internen Systemen offenzulegen.“

Seiner Einschätzung nach kann ein Angreifer derzeit über die Funktion CreateAttachmentFromUri bestimmte Daten von einem Exchange Server anfordern, die dann automatisch als Datei an einen Nachrichtenentwurf angehängt werden. In Bezug auf die benötigte Authentifizierung verweist Bazydlo darauf, dass ein Angreifer lediglich die Kontrolle über ein auf dem Exchange Server gehostetes Postfach übernehmen muss – was bei großen Organisationen Hunderte oder gar Tausende mögliche Ziele seien, um einen Exchange Server zu kompromittieren.

In seinem Blogbeitrag beschreibt der Forscher seinen Angriff und verlinkt auch ein Video, das die Attacke zeigt. „Die Bewertung von Problemen mit Server Side Request Forgery kann schwierig sein und zu Unstimmigkeiten führen“, räumt Bazydlo ein. „Solche Schwachstellen wirken sich oft nicht auf das Produkt aus, in dem sie vorhanden sind, was ein häufig zu hörendes Argument von Anbietern ist. Sie können jedoch als Zugangsweg für externe Angreifer genutzt werden, um in die eingeschränkten Bereiche von Netzwerken zu gelangen und so Auswirkungen auf andere Systeme in der Unternehmensumgebung zu haben. Daher würde ich den Anbietern empfehlen, SSRF ernst zu nehmen und die Funktionalität, die die Weiterleitung beliebiger Anfragen beinhaltet, neu zu bewerten.“