Categories: Cybersicherheit

Neue Zero-Day-Lücken in Exchange Server erlauben Datendiebstahl

Die Zero Day Initiative (ZDI) hat Details zu vier Zero-Day-Lücken in Exchange Server veröffentlicht. Microsoft sind die Schwachstellen bereits seit Anfang September bekannt. Laut ZDI stuft der Softwarekonzern den Schweregrad der vier Anfälligkeiten jedoch als so gering ein, dass eine zeitnahe Bereitstellung eines Patches nicht notwendig sei.

Drei der vier Sicherheitslücken erlauben Server-Side-Request-Forgery-Angriffe (SSRF). Angreifer sollen in der Lage sein, aus der Ferne vertrauliche Informationen auszuspähen. Allerdings können die drei Schwachstellen erst nach einer vorherigen Authentifizierung ausgenutzt werden.

In allen drei Fällen prüft Exchange Eingaben für einen Uniform Resource Identifier (URI) vor dem Zugriff auf eine Ressource nicht ausreichend. Das gilt für die Methoden CreateAttachmentFromUri, DownloadDataFromOfficeMarketPlace und DownloadDataFromUri. Daten lassen sich daraufhin jeweils im Kontext des Exchange Servers auslesen.

In einem Blogeintrag widerspricht Piotr Bazydlo, Vulnerability Researcher bei ZDI, der Bewertung der Schwachstellen durch Microsoft. „Wie üblich liegt die Wahrheit irgendwo dazwischen. Was wie eine SSRF aussieht, kann manchmal tatsächlich eine beabsichtigte Funktion sein. Dennoch kann ein Angreifer diese Funktion missbrauchen, um sensible Informationen entweder aus der Anwendung, die das SSRF enthält, oder aus nicht damit verbundenen internen Systemen offenzulegen.“

Seiner Einschätzung nach kann ein Angreifer derzeit über die Funktion CreateAttachmentFromUri bestimmte Daten von einem Exchange Server anfordern, die dann automatisch als Datei an einen Nachrichtenentwurf angehängt werden. In Bezug auf die benötigte Authentifizierung verweist Bazydlo darauf, dass ein Angreifer lediglich die Kontrolle über ein auf dem Exchange Server gehostetes Postfach übernehmen muss – was bei großen Organisationen Hunderte oder gar Tausende mögliche Ziele seien, um einen Exchange Server zu kompromittieren.

In seinem Blogbeitrag beschreibt der Forscher seinen Angriff und verlinkt auch ein Video, das die Attacke zeigt. „Die Bewertung von Problemen mit Server Side Request Forgery kann schwierig sein und zu Unstimmigkeiten führen“, räumt Bazydlo ein. „Solche Schwachstellen wirken sich oft nicht auf das Produkt aus, in dem sie vorhanden sind, was ein häufig zu hörendes Argument von Anbietern ist. Sie können jedoch als Zugangsweg für externe Angreifer genutzt werden, um in die eingeschränkten Bereiche von Netzwerken zu gelangen und so Auswirkungen auf andere Systeme in der Unternehmensumgebung zu haben. Daher würde ich den Anbietern empfehlen, SSRF ernst zu nehmen und die Funktionalität, die die Weiterleitung beliebiger Anfragen beinhaltet, neu zu bewerten.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Was macht Check Point als attraktiver Arbeitgeber aus?

Kim Forsthuber von Checkpoint erklärt, wie sie zum Security-Anbieter gekommen ist und was sie an…

2 Stunden ago

Android-Malware Rafel RAT aufgedeckt

Bösartiges Tool wird für Spionage, Fernzugriff, Datenklau und Ransomware verwendet. Check Point-Sicherheitsforscher beobachten Angriffe in…

4 Stunden ago

US-Regierung verhängt Verkaufsverbot gegen Kasperskys Antivirensoftware

Es tritt bereits im Juli in Kraft. Ab Ende September wird auch der Wiederverkauf von…

6 Stunden ago

Beta 3 von Android 15: Google stellt neue Sicherheitsfunktionen vor

Android 15 erreicht den Meilenstein Platform Stability. Die neue OS-Version verbessert die Implementierung von Passkeys…

22 Stunden ago

Apple entwickelt Hochsicherheits-OS für seine KI-Rechenzentren

Es soll die Grundlage für die Sicherheitsfunktion Private Compute Cloud bilden. Diese wiederum soll die…

23 Stunden ago

Google schließt schwerwiegende Sicherheitslöcher in Chrome

Sie stecken unter anderem in der JavaScript Engine V8. Betroffen sind Chrome für Windows, macOS…

1 Tag ago