In Microsofts Exchange Server gibt es vier Zero-Day-Schwachstellen, über die Angreifer beliebigen Code aus der Ferne ausführen (Remote Code Execution, RCE) oder unbefugt auf Daten Zugriff erlangen können. Alle Lücken haben zur Voraussetzung, dass Angreifer an gültige Zugangsdaten gelangen und sich am System damit authentifizieren. Deshalb sind die Lücken zwar nicht kritisch, können aber doch schwerwiegende Auswirkungen haben. Die Lücken hat die Zero Day Initiative (ZDI) am Donnerstag veröffentlicht. Microsoft bestreitet den Schweregrad, den die ZDI zuweist, und sieht eine Lücke bereits durch ein vergangenes Update als geschlossen an.

Die zu Trendmicro gehörende ZDI vergibt den vier Lücken eigene Nummern. Die erste Lücke (ZDI-23-1578) ist eine RCE-Schwachstelle durch unzureichende Nutzerdatenprüfung; Angreifer können darüber Code mit dem Recht "SYSTEM" unter Windows ausführen. Die zweite Lücke (ZDI-23-1579) betrifft unzureichende geprüfte URL-Daten und verrät (nicht näher benannte) Informationen des Exchange-Servers. Die dritte Lücke (ZDI-23-1580) ähnelt der zweiten und betrifft URLs rund um Microsofts Office Marketplace. Die vierte Lücke (ZDI-23-1581) stammt ebenfalls aus unzureichender URL-Prüfung beim Erstellen von Anhängen und verrät ebenfalls Informationen des Exchange-Servers. Für die Schwachstellen vergibt die ZDI CVSS-Schweregrade zwischen 7.1 (Lücken 2 bis 4) und 7.5 (die erste Lücke).

ZDI und Microsoft uneins bei Beurteilung

Nach eigenen Angaben meldete die ZDI ihre Entdeckungen bereits Anfang September an Microsoft, doch bei der Beurteilung des Schweregrads ist man sich offenbar uneins. Weil Microsoft den Lücken wegen der vorausgesetzten erfolgreichen Nutzerauthentifizierung eher geringes Gewicht beimisst und ihre Behebung für ein späteres Update erwägen will, hat die ZDI die Informationen nun unabhängig davon veröffentlicht. Die ZDI hält die Lücken vielmehr für bedeutsam, weil diese Hürde heutzutage nicht allzu schwer zu überwinden sei. Über Phishing-Angriffe auf Mitarbeiter etwa oder über Brute-Force-Angriffe auf schwache Passwörter oder den Kauf geleakter Authentifizierungsinformationen könne man relativ leicht an Zugangsdaten gelangen, argumentiert die ZDI.

Die schwerwiegendste Lücke ist zweifellos die RCE-Schwachstelle (1578), weil das Ausführen von Code auf dem angegriffenen Server mit der höchsten Rechtestufe ("SYSTEM") möglich ist. Microsoft weist jedoch laut der Website Bleeping Computer ausdrücklich darauf hin, dass genau diese Lücke bereits durch das Sicherheitsupdate vom August geschlossen wurde (das seinerseits Probleme verursachte). Admins, die das "August Security Update" auf ihre Exchange-Server eingespielt haben, sollten also geschützt sein. Bei den Lücken 1580 und 1581 vermisst Microsoft den Nachweis, dass sie tatsächlich unberechtigten Zugriff auf Nutzerdaten des Exchange-Servers erlauben.

(tiw)