Contact
QR code for the current URL

Story Box-ID: 109290

cirosec GmbH Ferdinand-Braun-Straße, 4 74074 Heilbronn, Germany http://www.cirosec.de
Contact Ms Daniela Strobel +49 7131 5945560
Company logo of cirosec GmbH

cirosec warnt vor vermeintlich sicheren E-Mail-Systemen

Schwachstelle in Novell GroupWise entdeckt

(PresseBox) (Heilbronn, )
cirosec, der Spezialist im IT-Sicherheitsbereich, warnt vor Angriffsmöglichkeiten auf angeblich sichere Firmen-E-Mail-Systeme und deren Nutzung ohne VPN-Verschlüsselung über das Internet.

Hersteller von E-Mail-Systemen behaupten oft, dass die Kommunikation zwischen E-Mail-Client und E-Mail-Server verschlüsselt und generell sicher ist. Allerdings ist diese Verschlüsselung zwischen Client und Server oft unzureichend implementiert. Dadurch werden Angriffe auf die Kommunikation möglich.

Dies wurde einmal mehr bei einer Sicherheitsüberprüfung deutlich, die Andreas Schmidt, Berater bei der cirosec GmbH, im Auftrag eines Kunden durchgeführt hat. Bei der Überprüfung des GroupWise Mail-Systems von Novell war es ihm möglich, trotz SSL-Verschlüsselung die Kommunikation zwischen Client und Server anzugreifen und die Anmeldeinformationen (Benutzername und Passwort) abzugreifen, ohne dass dies für den Anwender sichtbar gewesen wäre. Möglich war dieser so genannte Man-In-The-Middle-Angriff durch gravierende Fehler bei der Implementierung der Verschlüsselung des Protokolls, das für die Kommunikation zwischen Client und Server genutzt wird.

Ist ein Angreifer einmal in Besitz von den genannten Anmeldeinformationen, kann er sich anschließend am GroupWise Server anmelden und somit auf die Daten des Opfers zugreifen. Dies ist besonders dann kritisch, wenn Anwender ungeschützt, also ohne VPN aus öffentlichen Netzen, wie beispielsweise von Hotel-WLANs auf firmeninterne Daten zugreifen.

Die Angriffsmöglichkeit wurde nach der Entdeckung an den Hersteller Novell gemeldet, der mittlerweile einen Patch veröffentlicht hat, durch den die gemeldete Schwachstelle behoben wird. Allerdings ist diese Art von Fehler auch bei allen anderen kommerziellen E-Mail-Systemen denkbar. Deshalb empfiehlt cirosec, sich nicht auf die herstellerseitige Verschlüsselung zu verlassen, sondern auf jeden Fall die Kommunikation über eine VPN-Verschlüsselung zu implementieren, insbesondere bei Nutzung von E-Mail-Systemen über das Internet.

Ein Advisory der cirosec GmbH zu dem Fehler in Novell GroupWise findet sich unter http://www.cirosec.de/
deutsch/dienstleistungen/advisory_040607.html

Der Patch von Novell findet sich unter http://download.
novell.com/Download?buildid=T5KoQlP4WUo~

cirosec GmbH

Die cirosec GmbH ist ein spezialisiertes Unternehmen mit Fokus auf IT- und Informationssicherheit, das seine Kunden im deutschsprachigen Raum berät. Das Angebotsspektrum umfasst die Bereiche Konzepte, Reviews und Analysen, Managementberatung, Durchführung von Audits und Penetrationstests, Incident Response und Forensik sowie Konzeption, neutrale Evaluation und Implementation von Produkten und Lösungen. Die Themenschwerpunkte liegen auf dem Schutz vor gezielten Angriffen (APTs), moderner Malware und Denial-of-Service-Angriffen sowie auf der Sicherheit von (mobilen) Endgeräten, Apps, Web-Applikationen, Portalen und Web Services. Zudem liegt der Fokus auf der Nachvollziehbarkeit und Kontrolle administrativer Zugriffe, Sicherheit im internen Netzwerk, IoT und Industrie 4.0 sowie Verwundbarkeits- und Risikomanagement. Darüber hinaus bietet cirosec ihren Kunden innovative Trainings, in denen die versierten Berater den richtigen Umgang mit modernen Technologien und neuen Sicherheitsthemen vermitteln.

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.