Categories: Sicherheit

RCE-Schwachstelle: Fast 50 Prozent der weltweiten E-Mail-Server betroffen

Eine kritische Sicherheitslücke bei der Ausführung von Remote Command Execution (RCE) betrifft mehr als die Hälfte der E-Mail-Server im Internet. Das haben Sicherheitsforscher von Qualys bekanntgegeben. Demnach befindet sich die kritische Schwachstelle in Exim-Installationen mit den Versionen 4.87 bis 4.91.

Die Schwachstelle wird als Remote-Befehlsausführung beschrieben, der einen lokalen oder entfernten Angreifer Befehle auf dem Exim-Server als root ausführen lässt. Laut Qualys kann die Schwachstelle sofort von einem lokalen Angreifer ausgenutzt werden, der über eine Konto auf dem E-Mail-Server verfügt, wobei selbst Konten mit begrenzten Berechtigungen ausreichten. Die eigentliche Gefahr besteht jedoch darin, dass Hacker auch von außerhalb die Schwachstelle ausnutzen können. Sie können beispielsweise das Netz nach anfälligen Servern durchsuchen und Systeme übernehmen.

„Um diese Schwachstelle in der Standardkonfiguration aus der Ferne auszunutzen, muss ein Angreifer eine Verbindung zum anfälligen Server für 7 Tage offen halten (indem er alle paar Minuten ein Byte sendet)“, sagten die Forscher. „Aufgrund der extremen Komplexität des Exim-Codes können wir jedoch nicht garantieren, dass diese Methode die einzige ist; es können auch effektivere Wege existieren.“ Darüber hinaus sagt das Qualys-Team, dass, wenn sich Exim in bestimmten, nicht standardmäßigen Konfigurationen befindet, eine sofortige Remote-Ausnutzung möglich ist.

Die Schwachstelle wurde mit der Veröffentlichung von Exim 4.92 am 10. Februar 2019 behoben, aber als das Exim-Team diese Version veröffentlichte, wusste es nicht, dass es damit die Sicherheitslücke geschlossen hatte. Diese wurde erst kürzlich vom Qualys-Team beim Audit älterer Exim-Versionen entdeckt. In einer E-Mail an Linux-Distro-Betreuer sagte Qualys, dass die Schwachstelle „trivial ausnutzbar“ sei und und dass die Gefahr bestehe, dass Angreifer in den nächsten Tagen Exploit-Code entwickeln werden.

Die Exim-Schwachstelle wird derzeit unter dem Identifikator CVE-2019-10149 geführt. Qualys bezeichnet sie auch mit dem Namen „Return of the WIZard“, da die Schwachstelle den alten WIZ- und DEBUG-Schwachstellen ähnelt, die den Sendmail-E-Mail-Server bereits in den 90er Jahren betroffen haben.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Google-Forscher entdeckt schwerwiegende Sicherheitslücke in Mozillas NSS-Bibliothek

Ein Angreifer kann Speicherbereiche mit eigenem Code überschreiben. Der Mozilla-Browser Firefox ist aber nicht betroffen.

7 Stunden ago

Forscher warnen vor unsicheren Cloud-Computing-Diensten

Sie richten 320 Honeypots mit unsicher konfigurieren Diensten sowie schwachen Zugangskennwörtern ein. Bereits nach 24…

7 Stunden ago

Online-Handel unter Bot-Beschuss

Unter dem Motto „Es ist ein Bot entsprungen“ machen Hacker dem Online-Handel dieses Weihnachten erneut…

8 Stunden ago

Mit Neo zu Cloud-Native-Ufern

OutSystems fokussiert sich auf Lösungen für die Low-Code-Programmierung. Dieses Verfahren zur Softwareerstellung ohne tiefgehende Programmierkenntnisse…

8 Stunden ago

Netzwerktransformation mit NaaS

Viele Netzwerk-Admins achten in erster Linie auf die Konnektivität. Netzwerk as a Service (NaaS) kann…

12 Stunden ago

ONLYOFFICE: Partnerprogramm bietet zahlreiche Vorteile für neue Reseller

Wer seinen Kunden im Rahmen seiner Softwarelösung, IT-Services oder einfach nur als Reseller die Open-Source-Kollaborationsplattform…

14 Stunden ago