Microsoft onderzoekt groot lek in Exchange

Serversoftware geeft gebruikers toegang tot andere inboxen

24 november 2003 | Jeff Ronge Microsoft onderzoekt of er een serieuze fout in Exchange Server 2003 zit. De serversoftware werd slechts een maand geleden gelanceerd als onderdeel van Office System 2003.

Het lek lijkt aanwezig in het component van Exchange, genaamd Outlook Web Access (OWA), dat gebruikers toegang geeft tot hun inboxen en de hierin aanwezige mappen via een browser.

Gebruikers die inloggen op deze webgebaseerde mailbox krijgen soms toegang tot de accounts van andere gebruikers, met volledige rechten. Dat zegt Matthew Johnson, een netwerkbeheerder bij een Amerikaans bedrijf dat tools verkoopt aan financiële instellingen. Johnson rapporteerde het lek eerder deze maand bij de NTBugtraq-mailinglijst.

"Dit lijkt een zeer serieus beveiligingslek en we hebben vanwege deze kwetsbare plek hier het OWA-component voor onbepaalde tijd geheel uitgeschakeld", schreef Johnson op de mailinglijst.

Microsoft heeft verklaard het probleem te onderzoeken, maar stelde ook dat het lek alleen aanwezig is als de Kerberos-authenticatie is uitgeschakeld. Kerberos is ontwikkeld door het prestigieuze Massachusetts Institute of Technologie (MIT). Microsoft gebruikt deze methode om verzoeken om diensten te authenticeren.

Momenteel adviseert de softwarereus de gebruikers van zijn software de Kerberos-authenticatie ingeschakeld te houden. Dat is ook het geval in de standaardconfiguratie. Een patch of aanvullende informatie volgt als het onderzoek is afgerond.

Vroegere versies van OWA hadden ook al last van beveiligingsproblemen. In 2001 distribueerde Microsoft al een patch voor de OWA-component in Exchange 5.5 en 2000, maar dit lapmiddel zorgde er zelf voor dat veel servers vastliepen of zelfs geheel bezweken vanwege een te grote belasting. Een tweede patch bevatte ook een catastrofale fout. Lees meer artikels over : exchange, microsoft, lek

bron: ZDNet