Oracle heeft al patches uit, die Microsoft nog moet verwerken en uitbrengen voor zijn serversoftware. Het gaat om kwetsbaarheden in de Outside In-libraries van Oracle, die Microsoft gebruikt in Exchange Server 2007, 2010 en in FAST Search Server 2010 for Sharepoint. De kwetsbare Oracle-componenten daarin maken het mogelijk voor kwaadwillenden om eigen code te laten draaien op Windows-servers.

Server kapen

“In het ernstigste geval van Microsoft Exchange Server 2007 en Microsoft Exchange Server 2010 is het mogelijk onder bepaalde omstandigheden dat de kwetsbaarheid een aanvaller in staat stelt om het serverproces over te nemen dat een specifiek aangemaakt bestand verwerkt", waarschuwt de Exchange-maker in een security advisory over dit beveiligingsgat. De gebruikte libraries dienen voor het lezen, weergeven en wijzigen van content in ruim 500 ongestructureerde bestandsformaten, waaronder Word, PowerPoint en PDF.

Een kwaadwillende hoeft slechts een willekeurige Exchange-gebruiker een eigen, speciaal geprepareerd bestand toe te mailen. Zodra de ontvanger dat attachment als preview bekijkt in een browser voert de Exchange-server de ingebouwde exploitcode uit. Om deze aanval uit te voeren op Sharepoint-servers moet de dader zo'n malafide bestand plaatsen op een locatie die door de FAST Search wordt geïndexeerd. Zodra die Sharepoint-functie het bestand indexeert, wordt de ingebakken aanvalscode uitgevoerd.

Via deze in Exchange en Sharepoint ingebedde Oracle-software kan een aanvaller dan eigen programma's installeren, maar ook data bekijken, veranderen en wissen. Elke computerhandeling waar het gekaapte serverproces toegang toe heeft, is dan toegankelijk voor de kraker. Microsoft stelt nog dat het zich niet bewust is van actieve exploits die deze kwetsbaarheid misbruiken.

Workaround: uitschakelen

Het gevaar van dit Oracle-gat voor Microsofts serversoftware is volgens de Exchange-leverancier wel enigszins beperkt door twee factoren. Op Exchange draait de contentconversiedienst die de libraries gebruikt op het LocalService-account, wat geen hoge systeemprivileges heeft. Verder is SharePoint alleen kwetsbaar als de FAST Search is geactiveerd mét het Advanced Filter Pack, wat default niet het geval is.

Terwijl Microsoft werkt aan patches voor dit gat, biedt het beheerders enkele tips om het af te dekken. Die workarounds komen neer op het geheel uitschakelen van de zogeheten transcoding-service die bestandsformaten converteert en toont in de preview-modus van Exchange en in index van SharePoint FAST Search. Het is nog niet bekend wanneer deze serversoftware patches krijgen om dit Oracle-gat te dichten.