Zero-Day-Lücken in Microsoft Exchange ermöglichen Datendiebstahl

Es gibt erneut Streit um Microsofts Umgang mit Schwachstellen, dieses Mal in Exchange. Nun ist Microsoft Exchange unter Beschuss - und zwar in zweierlei Hinsicht: Zum einen, weil es vier Zero-Day-Schwachstellen gibt, zum anderen, weil der Konzern nicht sofort reagiert.
Microsoft, Cloud, E-Mail, Office 365, microsoft 365, Cloud Computing, Exchange, Exchange online, Exchange Server, Microsoft 365 Business, Microsoft Exchange, Microsoft Cloud, Microsoft 365 für Unternehmen, Mailserver, Cloud Hosting, Exchange Logo, Microsoft Exchange Online, Microsoft Exchange Online Logo, E-Mail Server

Uneinigkeit über die Schwere der Schwachstellen

Das meldet das Online-Magazin Bleeping Computer und erläutert, was nach der Entdeckung der Sicherheitslücke in Exchange durch die Sicherheitsforscher von Trend Micro passiert ist - und das ist interessanter als die Schwachstellen selbst.

Exchange ist demnach von vier Zero-Day-Schwachstellen betroffen, die Angreifer aus der Ferne ausnutzen können, um beliebigen Code auszuführen oder vertrauliche Informationen auf den betroffenen Installationen offenzulegen.


Informationen dazu wurden von der Zero-Day-Initiative (ZDI) am 7. und 8. September 2023 an Microsoft gemeldet und nun bereits öffentlich zur Verfügung gestellt. Regulär wartet man damit, bis es Software-Update gibt.

Fehlende Dringlichkeit?

In diesen Fällen hat Microsoft allerdings die Meldungen bestätigt, ihre Auswirkungen aber als geringfügig eingestuft und die nötigen Korrekturen auf später verschoben. Laut dem Konzern gibt es keine Dringlichkeit für die Behebung. Die Erklärung dazu haben wir am Ende des Beitrags mit angefügt.

Das ZDI war mit dieser Reaktion nicht einverstanden und beschloss, die Schwachstellen unter seinen eigenen Tracking-IDs zu veröffentlichen, um Exchange-Administratoren vor den Sicherheitsrisiken zu warnen. Zudem kritisierte man wieder einmal den Umgang von Microsoft mit Sicherheitsvorfällen.

Eine Zusammenfassung der Schwachstellen:

  • ZDI-23-1578: Ein RCE-Fehler (Remote Code Execution) in der Klasse "ChainedSerializationBinder", bei dem die Benutzerdaten nicht ausreichend validiert werden, sodass Angreifer nicht vertrauenswürdige Daten deserialisieren können. Bei erfolgreicher Ausnutzung kann ein Angreifer beliebigen Code als 'SYSTEM', der höchsten Berechtigungsstufe unter Windows, ausführen.
  • ZDI-23-1579: Dieser Fehler befindet sich in der Methode 'DownloadDataFromUri' und ist auf eine unzureichende Validierung eines URI vor dem Ressourcenzugriff zurückzuführen. Angreifer können dies ausnutzen, um auf vertrauliche Informationen von Exchange-Servern zuzugreifen.
  • ZDI-23-1580: Diese Sicherheitsanfälligkeit in der Methode "DownloadDataFromOfficeMarketPlace" ist ebenfalls auf eine unzureichende URI-Validierung zurückzuführen, die zur unberechtigten Offenlegung von Informationen führen kann.
  • ZDI-23-1581: Diese Schwachstelle in der Methode "CreateAttachmentFromUri" ähnelt den vorhergehenden Fehlern und beruht ebenfalls auf einer unzureichenden URI-Validierung, was wiederum zur Offenlegung sensibler Daten führen kann.

Alle diese Schwachstellen erfordern eine Authentifizierung, um ausgenutzt werden zu können, was ihren Schweregrad im CVSS-Rating auf 7,1 bis 7,5 senkt. Das Erfordernis zur Authentifizierung ist ein sogenannter Entschärfungsfaktor und vermutlich der Grund dafür, dass Microsoft der Behebung der Fehler keine Priorität eingeräumt hat. Laut ZDI sollten die oben genannten Zero-Days allerdings nicht so einfach als unwichtig eingestuft werden, da insbesondere ZDI-23-1578 zu einer vollständigen Kompromittierung des Systems führen kann.

Ein Microsoft-Sprecher hat auf die Bitte von BleepingComputer um einen Kommentar mit folgender Erklärung geantwortet:

"Wir schätzen die Arbeit dieses Finders, der diese Probleme im Rahmen der koordinierten Offenlegung von Schwachstellen gemeldet hat, und wir sind bestrebt, die notwendigen Schritte zu unternehmen, um unsere Kunden zu schützen.

Wir haben diese Berichte überprüft und festgestellt, dass sie entweder bereits behoben wurden oder gemäß unseren Richtlinien zur Klassifizierung des Schweregrads nicht die Voraussetzungen für eine sofortige Behebung erfüllen. Wir werden prüfen, ob sie in zukünftigen Produktversionen und -updates behoben werden können, sofern dies angemessen ist."

Ferner stellte Microsoft die folgenden zusätzlichen Informationen zu den entdeckten Schwachstellen zur Verfügung:

Informationen zu den Sicherheitslücken

  • Zu ZDI-23-1578: Kunden, die die Sicherheitsupdates vom August installiert haben, sind bereits geschützt.
  • Zu ZDI-23-1581: Die beschriebene Technik setzt voraus, dass ein Angreifer zuvor Zugriff auf E-Mail-Anmeldeinformationen hat, und es wurden keine Beweise dafür vorgelegt, dass sie für eine Erhöhung der Berechtigungen genutzt werden kann.
  • Zu ZDI-23-1579: Die beschriebene Technik setzt voraus, dass ein Angreifer zuvor Zugriff auf E-Mail-Anmeldeinformationen hat.
  • Zu ZDI-23-1580: Die beschriebene Technik setzt voraus, dass ein Angreifer Zugang zu E-Mail-Anmeldeinformationen hat. Es wurden keine Beweise dafür vorgelegt, dass sie zum Zugriff auf sensible Kundendaten genutzt werden kann.

Zusammenfassung
  • Microsoft Exchange hat vier Zero-Day-Schwachstellen
  • Sicherheitsforscher entdeckten die Sicherheitsprobleme
  • Microsoft stufte Auswirkungen der Schwachstellen als geringfügig ein
  • Zero-Day-Initiative (ZDI) veröffentlichte Schwachstellen
  • Schwachstellen ermöglichen Ausführung von Code und Zugriff auf Daten
  • Authentifizierung erforderlich, um Schwachstellen auszunutzen
  • Behebung der Fehler in zukünftigen Produktversionen und -updates geplant

Siehe auch:
Thema:
Sicherheitslücken


Neueste Downloads
Mehr Downloads
Beliebt im Preisvergleich
Internet Security Preisvergleich
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!