VulDB: Microsoft Exchange Server bis 2003 Kalender Collaboration Data Objects Email erweiterte Rechte
Allgemein
scipID: 2217
Betroffen: Microsoft Exchange Server bis 2003
Veröffentlicht: 09.05.2006 (Microsoft)
Risiko: 
kritisch
Beschreibung
Microsoft Exchange ist ein von vielen Unternehmen gern eingesetzter Mailserver. Wie Microsoft in MS06-019 (KB916803) berichtet, existiert im Microsoft Exchange Server bis 2003 ein schwerwiegendes Problem. Dieses betrifft den Kalender in Bezug auf EXCDO (Exchange Collaboration Data Objects) und CDOEX (Collaboration Data Objects for Exchange) beim Umgang mit iCal- und vCal-Werten in Nachrichten. Dadurch liesse sich beliebiger Programmcode ausführen. Technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben.
Microsoft Exchange ist in Unternehmen sehr beliebt, da es auf verschiedenen Ebenen sehr viel Komfort zu gewährleisten in der Lage ist. Gerade aufgrund dieser Popularität sind Angriffe wie dieser von einer Vielzahl von Angreifern – und zwar nicht nur Skript Kiddies – gern gesehen. Umso wichtiger ist es, dass diese Sicherheitslücke schnellstmöglich durch das Einspielen der entsprechenden Patches aus der Welt geschaffen wird.
Exploiting
Klasse: Designfehler
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 21332 (Name: MS06-019: Vulnerability in Microsoft Exchange Could Allow Remote Code Execution (916803), Risk: High)
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Den freigegebenen Patch einspielen.
Link: http://windowsupdate.microsoft.com
Snort: 12619 (EXPLOIT Microsoft Exchange ical/vcal malformed property)
Pattern: DESCRIPTION|3A|
Quellen
Advisory: http://www.microsoft.com/technet/security/Bulletin/MS06-019.mspx
CVE: CVE-2006-0027
OSVDB: 25338
Securityfocus: 17908
Secunia: 20029
X-Force: 25556
Securitytracker: 1016048
VUPEN: ADV-2006-1743
Securiteam: –
Tecchannel: –
Heise: 72913
smSS: smSS 19. Mai 2006
Andere: http://support.microsoft.com/kb/916803
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
