VulDB: Microsoft Exchange Server 2000 und 2003 SMTP Verb-Kommando Pufferüberlauf
Allgemein
scipID: 1351
Betroffen: Microsoft Exchange Server 2000 und 2003
Veröffentlicht: 12.04.2005 (Mark Dowd und Ben Layer, ISS X-Force)
Risiko: 
kritisch
Beschreibung
Microsoft Exchange ist ein von vielen Unternehmen gern eingesetzter Mailserver für Windows-Umgebungen. Mark Dowd und Ben Layer der ISS X-Force entdeckten eine Pufferüberlauf-Schwachstelle im Microsoft Exchange Server 2000 und 2003 bei der Verarbeitung eines Verb-Befehls. Ein Angreifer kann diesen nutzen, um beliebigen Programmcode mit den Rechten des lokalen Systems auszuführen. Einschränkung dabei ist, dass das Verb-Kommando normalerweise nur anderen Exchange-Servern in einer Umgebung zur Verfügung stehen. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Microsoft hat das Problem in MS05-021 (KB894549) mit einem Patch für die betroffenen Versionen adressiert. Microsoft Exchange Server 5.5 SP4 und 5.0 SP2 sind nicht verwundbar.
Diese Schwachstelle hat natürlich ersteinmal alle Exchange-Administratoren aufschrecken lassen. Eine remote ausnutzbare Schwachstelle im SMTP-Dienst ist natürlich verheehrend und bedarf einer sofortigen Behebung. Das Risiko muss jedoch aufgrund der Tatsache, dass das Verb-Kommando nicht jederman zugänglich ist, heruntergestuft werden. Trotzdem ist das Interesse der Angreifer hoch und so ist mit einem baldigen Erscheinen eines Exploits zu rechnen. Administratoren täten deshalb gut daran, noch diese Woche die Patches umzusetzen, um das Zeitfenster für erfolgreiche Angriffe so klein wie möglich zu halten.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 18024 (Name: MS05-021: Vulnerability in SMTP Could Allow Remote Code Execution (894549), Risk: Critical)
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Den freigegebenen Patch einspielen.
Link: http://windowsupdate.microsoft.com
Snort: 3627 (POLICY X-LINK2STATE CHUNK command attempt)
Pattern: X-LINK2STATE
Quellen
Advisory: http://www.microsoft.com/technet/security/Bulletin/MS05-021.mspx
CVE: CVE-2005-0560
OSVDB: 15467
Securityfocus: –
Secunia: 14920
X-Force: –
Securitytracker: –
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: 58502
smSS: smSS 19. April 2005
Andere: http://xforce.iss.net/xforce/alerts/id/193
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
