Nieuwe lekken in Windows en Exchange

Andermans mail lezen mogelijk

14 januari 2004 | Jamie Biesemans Microsoft verstuurde dinsdag opnieuw bulletins met waarschuwingen over lekken in hun software. De belangrijkste voor gewone gebruikers betreft een kwetsbaarheid in Windows 2000 en XP die in het ergste geval een achterdeur opent voor een hacker. Daarnaast hebben bepaalde serverproducten van Microsoft en het gloednieuwe Exchange 2003 elk last van afzonderlijke problemen.

Opnieuw blijken de Microsoft Data Access Components (MDAC) een kritische lek te bevatten. Dat was al eens het geval in augustus 2003, toen al langer bekende bugs in MDAC 2.5, 2.6 en 2.7 ernstiger bleken dan de softwarereus in eerste instantie toe wilde geven. Ook nu is er een probleem met versie 2.5 (bij Windows 2000), 2.6 (bij SQL Server 2000) en 2.7 (Windows XP), én bij MDAC 2.8, dat bij Windows Server 2003 wordt geleverd.

Door het aanbrengen van patches in het verleden kunnen de versienummers van systeem tot systeem verschillen. Microsoft heeft daarom een document beschikbaar gesteld waarmee na te gaan is welke versie de gebruiker benut. De uitleg is ook beschikbaar in het Nederlands.

Microsoft Data Access Components zijn onderdeel van Windows en bieden verschillende functies om gegevens uit databases op te halen, onder meer via een netwerk.

De impact van het pas ontdekte lek in de MDAC hangt af van de veiligheidsinstellingen van de getroffen pc. In het ergste geval kan een hacker volledige toegang krijgen tot een pc. Volgens Microsoft is de kans daarop minder groot, onder meer omdat een aanval van hetzelfde IP-subnet moet komen als het adres van het doelwit.

Welke e-mail?
Het probleem met Exchange treft Outlook Web Access (OWA), de webinterface waarmee gebruikers rechtstreeks op een mailserver hun e-mail kunnen bekijken. OWA werd in het verleden wel meer als onveilig beschouwd, en wordt daarom door sommige beheerders uitgeschakeld.

Het probleem is in dit geval een bug die ervoor zorgt dat een gebruiker al dan niet per ongeluk in de mailbox van een ander persoon terechtkomt. Van wie de verkeerde mailbox is, valt vooraf niet te voorspellen of te manipuleren. Het zou altijd gaan om gebruikers die heel recent in OWA waren ingelogd, waardoor hun gegevens nog bleven 'hangen'. Gelukkig is het voor een kwaadwillende hacker vrij moeilijk deze kwetsbaarheid uit te buiten, aldus Microsoft.

De laatste fout treft Microsoft Internet Security and Acceleration Server 2000, Small Business Server 2000 en Small Business Server 2003. Hier gaat het om een kritische kwestie die ontdekt werd door het UK National Infrastructure Security Co-ordination Centre (NISCC), de computerveiligheidswaakhond van de Britse overheid. Meer informatie erover vind je hier op Microsoft Technet. Lees meer artikels over : mdac, isa, owa

bron: ZDNet