Um den Angriff auszuführen benötigt der Angreifer vier Werte. Zwei davon können beim Login in das ECP abgegriffen werden. Die anderen beiden Werte sind Schlüssel, die in einer Konfigurationsdatei hinterlegt sind. Das Problem hierbei ist, dass diese Werte bei dem jeweiligen Exchange Server nur einmal generiert werden. Eine Änderung des Schlüssels findet nicht mehr statt. Dadurch hat jede Anmeldung denselben Schlüssel, egal ob sich ein normaler Nutzer, oder ein Administrator anmeldet. Wird der Schlüssel an einem normalen Client-Rechner ausgespäht, kann man mit ein wenig technischem Geschick Schadcode auf dem Exchange Server mit SYSTEM-Rechten ausgeführt werden.
Betroffen sind Exchange Server ab 2010. Die entsprechenden Patches stehen bereits bereit. Sie können hier heruntergeladen werden.
Wir empfehlen Ihnen dringend die Patches einzuspielen. Wenn Sie hierbei Unterstützung benötigen, stehen wir Ihnen gerne zur Verfügung.