Microsoft está investigando un posible agujero de seguridad en Exchange Server 2003, que podría ser el primero desde que se lanzara el servidor de correo electrónico el pasado mes.



Este posible fallo de seguridad reside en el componente Outlook Web Access de Exchange Server 2003. Un administrador de red de Nashville, en Tenessee, ha realizado la investigación acerca de las herramientas que los usuarios utilizan para registrarse en Outlook Web Access. Estas herramientas podrían hacer que el usuario de registrara en el buzón de correo de otro usuario, pudiendo tener acceso a todos los privilegios del propio usuario.

“Parece ser un fallo de seguridad mayor, y tendríamos que cerrar de forma indefinida el Outlook Web Access por culpa de este fallo”, afirma el administrador de red en un aviso enviado a la lista de direcciones de seguridad NTBugtraq.

Un investigación preliminar realizada por Microsoft ha indicado que este fallo ocurre únicamente cuando se desactiva el sistema de autenticación Kerberos, lo que la compañía afirma que es muy poco probable. “Lo que recomendamos a nuestros clientes es que se aseguren de que la autenticación Kerberos está activada, que realmente se encuentra en la configuración por defecto”, afirma Microsoft.

Aún así, el administrador de red de Tenessee afirma que en ningún momento desactivó la autenticación Kerberos cuando le sucedió este fallo de seguridad con Exchange Server 2003. “He de señalar que este fallo me sucedió con la configuración que viene por defecto”, como afirma en su mensaje.

Microsoft ya ha desarrollado un parche, que se encuentra en fase de prueba actualmente, según afirma el propio administrador de red. Microsoft no ha querido comentar nada acerca de este parche, ya que se encuentra todavía investigando el supuesto fallo de seguridad.