Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / Vulnerabilidades / Lista de direcciones al descubierto en Exchange 5.5

Lista de direcciones al descubierto en Exchange 5.5

Por Leave a Comment

Los servidores de correo Microsoft Exchange 5.5, siempre y cuando
tengan instalada la función Outlook Web Access (OWA), presentan una
vulnerabilidad por la cual un usuario sin autentificar puede listar
los nombres de las cuentas de correo existentes en el servidor.
Una de las características de OWA en Exchange 5.5 es la posibilidad
de buscar en la lista global de direcciones (GAL). Aunque dicha
opción, «Find Users», puede ser desactivada por el administrador,
es posible acceder directamente a la página ASP (fumsg.asp) y
realizar la petición de búsqueda.

La explotación de la vulnerabilidad sólo permite realizar búsquedas
de nombres de cuentas, en ningún momento se puede manipular los
buzones de correo ni enviar, leer o eliminar mensajes. En Microsoft
Exchange 2000 no se ha podido reproducir el problema.

Los servidores afectados por la vulnerabilidad deberán aplicar
el parche distribuido por Microsoft, disponible en la dirección
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32483

Bernardo Quintero
bernardo@hispasec.com

Más información:

OWA Function Allows Unauthenticated User to Enumerate Global Address List
http://www.microsoft.com/technet/security/bulletin/MS01-047.asp

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.