Bei der Sicherheitsüberprüfung eines GroupWise-Mail-Systems im Auftrag eines Kunden ist das auf IT-Sicherheit spezialisierte Beratungs- und Dienstleistungsunternehmen Cirosec auf eine kritische Schwachstelle gestoßen: Trotz SSL-Verschlüsselung gelang es dem Prüfer, die Kommunikation zwischen Client und Server anzugreifen und Benutzername sowie Passwort vom Nutzer unbemerkt abzugreifen. Möglich war diese Man-in-the-Middle-Attacke durch gravierende Fehler bei der Implementierung der Verschlüsselung des Protokolls, das für die Kommunikation zwischen Client und Server genutzt wird.
Mit Hilfe der Anmeldeinformationen kann sich der Angreifer am GroupWise-Server anmelden und somit ungehindert auf die Daten seines Opfers zugreifen. Besonders kritisch sei dies, wenn ein Anwender ungeschützt, also ohne VPN (Virtual Private Network), aus öffentlichen Netzen wie etwa Hotel-WANs auf firmeneigene Daten zugreife, erklärt Cirosec, das zu dem Bug ein eigenes Advisory herausgegeben hat.
Novell wurde über den Fehler informiert und hat bereits einen Patch veröffentlicht, der die Schwachstelle beheben soll.
Cirosec zufolge können aber auch alle anderen kommerziellen E-Mail-Systeme Fehler dieser Art aufweisen. Aus diesem Grund sei es ratsam, sich nicht auf die herstellerseitige Verschlüsselung zu verlassen. In jedem Fall, vor allem aber bei der Nutzung von E-Mail-Systemen via Internet, sollten Unternehmen die Kommunikation über eine VPN-Verschlüsselung implementieren. (kf)
