Exchange Server

Die Schwachstelle betrifft Microsoft Exchange Server, die Mailserver-Software von Microsoft für E-Mail, Kalender und Kontakte in Unternehmensumgebungen. Es handelt sich um einen Fehler bei der Rechteausweitung: Ein Angreifer, der die Lücke erfolgreich ausnutzt, kann sich als ein beliebiger anderer Benutzer des Exchange-Servers ausgeben und in dessen Identität agieren. Auf diese Weise lassen sich die Berechtigungen anderer Konten übernehmen, sodass der Angreifer Zugriff auf fremde Postfächer und die damit verbundenen Daten und Funktionen erlangt. Da Exchange häufig den zentralen Kommunikationsknoten einer Organisation bildet, wiegt die Möglichkeit, sich als andere Nutzer auszugeben, besonders schwer: Sie kann genutzt werden, um vertrauliche Nachrichten einzusehen, im Namen anderer zu handeln oder sich tiefer im Netzwerk auszubreiten. Betroffen sind Organisationen, die Exchange Server selbst betreiben.