Web-Zugang zum Mail-Server betroffen

Sicherheitsproblem in Exchange 2000

15.06.2001
AMSTERDAM (IDG) - Ein Bug in Microsofts Kommunikationssoftware Exchange 2000 kann schwere Folgen für E-Mail-Konten von Anwendern haben. Betroffen sind Unternehmen, die es ihren Mitarbeitern gestatten, mit dem "Internet Explorer" via Web auf ihre elektronischen Postfächer zuzugreifen.

Microsoft warnt davor, dass ein Fehler im Modul "Outlook Web Access" (OWA) von Hackern genutzt werden lann, um die elektronischen Postfächer von Anwendern zu manipulieren. Der Web-basierte Zugriff ermöglicht das Abrufen und Versenden von E-Mails über den Exchange-Server, ohne dass dazu der Outlook-Client benutzt werden muss.

Nach Angaben von Microsoft taucht der Fehler beim Zusammenspiel zwischen der Browsersoftware "Internet Explorer", OWA und Exchange 2000 auf. An eingehende E-Mails angehängte Dateien, die HTML- und Skriptcode enthalten, werden demnach sofort ausgeführt, wenn der Empfänger das Attachment anklickt.

Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er ein Attachment mit darin verborgenem, bösartigem Code an einen Anwender schickt. Öffnet dieser das Attachment von seinem Internet Explorer aus, kann der darin enthaltene Code Manipulationen an der Mailbox des Users vornehmen, die bis hin zum Löschen von Dokumenten oder Verzeichnissen reichen. Nach Angaben von Microsoft tritt der Fehler beim Einsatz von OWA in Verbindung mit anderen Browsern nicht auf. Der Hersteller stellte auf seinen Seiten einen Patch bereit, der das Problem beheben sollte. Bei einigen Anwendern hatte das Einspielen des Fixes jedoch zur Folge, dass das Mail-Gateway danach seinen Dienst versagt. Microsoft zog den Patch daraufhin zurück, um ihn nochmal zu überarbeiten.