G 2.92 Fehlerhafte Regelungen für den Browser-Zugriff auf Exchange

Exchange bietet die Möglichkeit, über einen Browser auf das eigene E-Mail-Konto zuzugreifen. Hierzu werden die Internet Information Services (IIS) verwendet, die fester Bestandteil der Installation von Exchange Server sind.

Wenn diese Funktionalität unsachgemäß geplant und fehlerhaft geregelt wird, kann dadurch ermöglicht werden, unkontrolliert von außen auf das interne Netz zuzugreifen.

Fehlkonfigurationen betreffen in erster Linie die Authentisierung des Webclients gegenüber dem Exchange Server sowie die geschützte Übertragung der Informationen über das Netz. Sind die geforderten Authentisierungsmethoden zu schwach, so können unter Umständen Unbefugte auf E-Mail-Daten und Systemressourcen zugreifen. Sind die eingesetzten Verschlüsselungsmechanismen nicht hinreichend stark, so können Daten abgehört werden. Bei nicht ausreichenden Authentisierungs- und Verschlüsselungsmechanismen können bestehende Verbindungen unter Umständen durch unbefugte Dritte übernommen werden. Weiterhin können über diesen Kanal Viren oder anderer schädlicher Code auf den Exchange Server gelangen.

Das Gefahrenpotential ist darüber hinaus vielfältig. Beispiele für weitere mögliche Folgen sind: