07.06.2001

EXCHANGE 2000

Bildquelle:

Böses Loch in Outlook via WWW

Ein böses Sicherheitsloch im Exchange 2000 Server meldet Microsofts Security Bulletin MS01-030. Es betrifft vor allem Business-User, die ihre Firmen-Mail von auswärts mit dem Internet Explorer über den Service Outlook Web Access [OWA] via Web ansehen.

Bei einem Mail-Attachment, das an sich ungefährlichen HTML Code enthält, tritt ein möglicherweise fataler Automatismus in Kraft. Internet Explorer und OWA sind sich nämlich einig, jedes in HTML eingebettete Script unverzüglich auszuführen.

Da sich der Vorgang nicht auf dem Home-PC, sondern auf dem Webserver abspielt, kann ein Script - wie etwa das durch ILOVEYOU auch ¿Normalusern¿ bekannt gewordene Visual Basic Script [VBS] - dort alle möglichen Befehle ausführen.

Was passieren kann
Das heißt, sich wie der Loveletter und seine Klons an alle Adressen in MS-Outlook weiterschicken, die Ordner in der Mailbox manipulieren, Einstellungen ändern oder alle Mails einfach löschen und anschließend den Papierkorb leeren.

Der Patch von Microsoft

Gemeine Tarnung möglich

Das heißt, sich wie der Loveletter und seine Klons an alle Adressen in MS-Outlook weiterschicken, die Ordner in der Mailbox manipulieren, Einstellungen ändern oder alle Mails einfach löschen und anschließend den Papierkorb leeren.

Das zusätzlich Gefährliche an diesem Sicherheitsloch dürfte nach Aussage von Microsoft allerdings der Umstand sein, dass eine Datei beliebigen Typs als Träger für ein Script der bösen Art in Frage kommt.

Das heißt, neben HTML können auch bisher generell unverdächtige Datei-Attachments [wie GIF oder JPEG oder auch Adobe Acrobat] gefährlich sein, wenn sie der User via Outlook Web Access öffnet..

Outlook selbst nicht betroffen

Wie Microsoft meldet, ist Outlook selbst von dem Bug nicht betroffen, da in HTML eingebettete Scripts nicht automatisch ausgeführt werden. Als "best praktice" empfiehlt MS, Attachments von unbekannten Absendern nicht aufzumachen. Der Flicken für die Lücke im Internet Exchange Server wurde gleichzeitig mit der Nachricht von der Existenz des Sicherheitslochs im Netz von Microsoft verfügbar gemacht.

Informationspolitik
Zur Politik Microsofts ist anzumerken, dass in den letzten Monaten immer öfter MS selbst zuerst vor Lücken warnt. Davor erfuhr man über gravierende Sicherheitslöcher meist erst etwas, wenn schon ein Virus oder Wurm in Umlauf war, der sie zum bösen Zwecke nützte.

Exchange 2000 und Outlook Web Access