Linux Security  Bild © DALL-ELinux Security (Bild © DALL-E)

Umfang der Sicherheitslücke

Die Sicherheitslücke betrifft alle Versionen von Exim bis einschließlich 4.97.1 und ermöglicht es Angreifern, Schutzmaßnahmen zu umgehen, die das Versenden von ausführbaren Anhängen verhindern sollen. Diese Schutzmechanismen sind wichtig, um Malware zu blockieren, die Endbenutzergeräte gefährden kann. Das Problem entsteht durch einen Fehler in der Art und Weise, wie Exim mehrzeilige Header parst, wie in RFC 2231 beschrieben.

Weitreichende Auswirkungen

Nach Angaben des Sicherheitsunternehmens Censys laufen 74 Prozent der 6,5 Millionen öffentlichen SMTP-E-Mail-Server, die bei Internet-Scans identifiziert wurden, mit Exim. Von diesen laufen 1,5 Millionen mit einer anfälligen Version der Software. Obwohl derzeit keine aktiven Angriffe bekannt sind, machen die Leichtigkeit des Angriffs und die große Anzahl anfälliger Server dieses Problem zu einem kritischen Thema.

Vorfälle in der Vergangenheit unterstreichen die Schwere solcher Sicherheitslücken. Im Jahr 2019 nutzte die vom Kreml unterstützte Hackergruppe Sandworm eine ähnliche Exim-Schwachstelle (CVE-2019-10149) aus, um bösartigen Code mit Root-Systemrechten auszuführen. Diese Angriffe begannen zwei Monate nach Bekanntwerden der Schwachstelle und hielten fast ein Jahr lang an.

Technische Details und Abhilfemaßnahmen

CVE-2024-39929 ermöglicht es Angreifern, die Blockierung von Erweiterungen zu umgehen und ausführbare Anhänge an Benutzer zu senden, die dann auf diese Anhänge klicken müssen, damit der Angriff erfolgreich ist. Auch wenn diese Schwachstelle die Interaktion des Nutzers erfordert, bleibt Social Engineering ein wirksamer Angriffsvektor.

Angesichts des hohen Risikos, das mit dieser Schwachstelle verbunden ist, sollten Administratoren die Aktualisierung auf die neueste Exim-Version priorisieren, um ihre Systeme vor möglichen Angriffen zu schützen. Angesichts der Tatsache, dass ähnliche Angriffe in der Vergangenheit erheblichen Schaden angerichtet haben, sind proaktive Maßnahmen zum Schutz von E-Mail-Servern vor dieser kritischen Schwachstelle unerlässlich.