Als je het aan beheerders of ICT managers vraagt, dan weet iedereen wel dat nieuwere software doorgaans veiliger is dan oude software. Maar wat betekent dat nu concreet? Een mooi praktijkvoorbeeld is een probleem wat vorig jaar ontdekt werd in Outlook Web Access van Exchange 2003 en Exchange 2007. Een security specialist ontdekte dat wanneer een OWA gebruiker op een bepaalde link klikt, een externe de OWA sessie van gebruiker over kan nemen. Hoe werkt dat? Simpel gezegd als volg:
- Maak een webpagina en plaats daar een link op
- Zet in de link een opdracht die bijvoorbeeld een auto-forward rule in OWA instelt
- Haal een OWA gebruiker over om op de link te klikken
Omdat OWA niet controleert waar de opdracht vandaan komt zal hij keurig een berichtregel aanmaken die alle inkomende mail naar een mailbox van de hacker doorstuurt. Deze ‘hack’ is zeer eenvoudig uit te voeren en heeft in potentie grote impact.
De fout werd aan Microsoft gemeld in september 2009, dat was nog net op tijd om een oplossing in te bouwen in Exchange 2010 waardoor deze niet meer kwetsbaar is voor deze hack. En deze oplossing is ook terecht gekomen in Exchange 2007 SP3 welke daarna werd uitgebracht. Maar Exchange 2003 en Exchange 2007 SP1 en SP2 zijn dus nog steeds kwetsbaar.
En nu? Mogelijke workarounds zijn beperkt en komen er op neer dat je berichtregels via OWA of het hele OWA Opties-paneel uitschakelt. Hiermee kan een hacker de instellingen niet meer veranderen maat het zelfde geldt voor de gebruiker zelf. De enige echte oplossing, zonder negatieve impact voor de gebruiker, is upgraden naar Exchange 2007 SP3 of Exchange 2010. Voor organisaties met Exchange 2003 kan dit wel eens een sterk argument zijn om vaart te maken met een upgrade naar Exchange 2010.
Wie meer wil lezen over dit issue kan een blik werpen op Microsoft Security Advisory 2401593.
No comments:
Post a Comment