Komoly biztonsági hiba a Microsoft levelezőszerverében?

Úgy tűnik, hogy az Outlook Web Access (OWA) komponenst érinti a hiba. Az OWA teszi lehetővé a felhasználók számára, hogy megnézhessék levelesládájuk tartalmát e-mailkliens alkalmazása nélkül, pusztán egy böngésző használatával. Némely esetben azonban a saját mailboxba való bejelentkezés után a leveleit elolvasni vágyó egy másik felhasználó accountjában találhatja magát, ráadásul úgy, hogy teljes jogosultsággal rendelkezik a másik ember adatai, üzenetei felett; közölte Matthew Johnson az NTBugtraq IT-biztonsággal foglalkozó levelezőlistán.

A bejelentés alapján a Microsoft vizsgálatot kezdett, és így kideríteni vélték, hogy a hiba csak abban az esetben lép fel, ha a Kerberos azonosító rendszert kikapcsolják. A Kerberos-t egyébként még a Massachusetts Institute of Technology, vagyis a Massachusetts-i Technológiai Intézet (MIT) fejlesztette ki; s a Microsoft az intézettől szerezte meg saját szoftvereiben levő azonosítási funkcióinak biztosítására. Jelenleg azonban még nincsen javítás a problémára, ezért a Microsoft azt javasolja a terméket használóknak, hogy hagyják a Kerberos-t működő állapotban addig, amíg a patch meg nem érkezik.

Johnson (a hiba felfedezője) azonban úgy vélekedik, hogy Redmond első elemzése nem megfelelő. Elmondása szerint cégüknél nem változtatták meg az Exchange Server alapbeállításait (amiben többek között a Kerberos is bekapcsolt állapotban van), mégis tapasztalták a fent leírt hibajelenséget.