Microsoft har netop udsendt en skrivelse der advarer om, at fremmede kan benytte SMTP funktionen i Windows 2000 maskiner til at sende store mængder e-mail helt anonymt. Fejlen findes i den såkaldte authentication scheme i Windows 2000's SMTP (Simple Mail Transfer Protocol) komponent.
En angriber, der udnytter svagheden i SMTP komponenten, kan ifølge Microsofts skrivelse få bruger privilegier på den fremmede maskine og derved udnytte servicen til at sende e-mails gennem maskinen. Angriberen kan dog ikke få administrator status.
SMTP komponenten installerede automatisk, når man installerer Windows 2000 server versionen, og kan installeres manuelt i Windows 2000 Pro. Svagheden kan kun udnyttes på maskiner, der ikke er en del af et domæne. SMTP komponenterne i NT 4.0, Exchange 5.5 og Exchange 2000 er heller ikke påvirkede af fejlen.
Microsoft anbefaler at man installerer en patch der retter fejlen - eller helt afinstallerer SMTP servicen, hvis man ikke har behov for den.
