Qualys-Sicherheitsforscher warnen vor einer bedrohlichen Schwachstelle (CVE-2019-10149) im weit verbreiteten Mail Transfer Client Exim. Die Schwachstelle erlaubt es lokalen Angreifern Kontrolle über Mailserver zu erlangen. Doch ebenfalls Angriffe über das Internet sind möglich. Laut Qualys sind alle Exim-Versionen ab 4․87 anfällig, möglicherweise sogar frühere Ausgaben. Admins sollten deshalb schnellstmöglich die abgesicherte Version 4․92 installieren die bereits im Februar 2019 veröffentlicht wurde. Zum damaligen Zeitpunkt war jedoch noch unklar, dass die Entwickler die Schwachstelle in dieser Ausgabe behoben hatten.
Einer aktuellen Auswertung zufolge kommt Exim auf fast 60 Prozent aller öffentlich erreichbaren Mailserver zum Einsatz. Den Bedrohungsgrad der Lücke haben die Sicherheitsforscher nicht eingestuft. Aufgrund einer möglichen Kompromittierung von Mailservern aus der Ferne ist davon auszugehen. Dass Risiko als "kritisch" gilt.
Triviale Attacken
In der Default-Konfiguration sollen lokale Angreifer die Lücke mit vergleichsweise wenig Aufwand ausnutzen können. Angriffe aus der Ferne seien aufwendiger. Dafür müssten Angreifer Qualys zufolge für sieben Tage eine Verbindung zu einem verwundbaren Exim-Server halten und alle paar Minuten ein Byte übermitteln. Mit abweichenden Konfigurationen oder alternativen Herangehensweisen könnten Attacken über das Internet auch noch simpler ausfallen.
Klappt eine Attacke, sollen Angreifer eigene Kommandos mit Root-Rechten auf Mailservern ausführen können. Dadurch soll eine komplette Übernahme möglich sein. Weitere Details zu der Sicherheitslücke beschreiben die Sicherheitsforscher in ihrem Beitrag.
Qualys hat die Lücke "Return of the WIZard" getauft, da sie an Schwachstellen aus den 90er Jahren im Sendmail-Mailserver in den Kommandos WIZ und DEBUG erinnert.
Kommentare