G 2.92 Fehlerhafte Regelungen für den Browser-Zugriff auf Exchange
Exchange 2000 bietet - wie auch schon Exchange 5.5 - die Möglichkeit, über einen Browser auf das eigene E-Mail-Konto zuzugreifen. Neu in Exchange 2000 ist dabei die Unterstützung des WebDAV-Protokolls, das auf HTTP aufsetzt. Dadurch kann auf das Installable File System (IFS) zugegriffen werden und damit wird die Funktionalität des Web Store und der Web Forms unterstützt. Hierzu werden die Internet Information Services (IIS) verwendet, die fester Bestandteil der Installation von Exchange 2000 Server sind.
Grundsätzlich besteht die Gefahr, dass es bei unsachgemäßer Planung und fehlerhaften Regelungen für diese Funktionalität möglich wird, unkontrolliert von außen auf das interne Netz zuzugreifen.
Fehlkonfigurationen betreffen in erster Linie die Authentisierung des Webclients gegenüber dem Exchange 2000 Server sowie die geschützte Übertragung der Informationen über das IP -Netz. Sind die geforderten Authentisierungsmethoden zu schwach, so können unter Umständen Unbefugte auf E-Mail-Daten und Systemressourcen zugreifen. Sind die eingesetzten Verschlüsselungsmechanismen nicht hinreichend stark, so besteht die Gefahr, dass Daten abgehört werden. Bei nicht ausreichenden Authentisierungs- und Verschlüsselungsmechanismen können bestehende Verbindungen unter Umständen durch unbefugte Dritte übernommen werden. Weiterhin besteht die Gefahr, dass über den OWA-Kanal Viren oder anderer schädlicher Code auf den E-Mail-Server gelangen.
Das Gefahrenpotential ist darüber hinaus vielfältig. Beispiele für weitere mögliche Folgen sind:
- E-Mail-Adressen könnten ausgespäht werden.
- Unbefugte könnten Zugriff auf E-Mail-Funktionen erlangen.
- Spam-Attacken könnten ermöglicht werden.
- Unbefugte könnten interne Informationen über das Unternehmen bzw. die Behörde erlangen.
- Es könnten sich direkte Angriffsmöglichkeiten auf das interne Netz ergeben.