### Kritische Schwachstelle in Exim MTA Eine kritische Schwachstelle, die bestimmte Konfigurationen des Open-Source-Mail-Transfer-Agenten (MTA) **Exim** betrifft, könnte von einem nicht authentifizierten entfernten Angreifer ausgenutzt werden, um beliebigen Code auszuführen. Die als **CVE-2026-45185** identifizierte Sicherheitslücke betrifft einige **Exim**-Versionen vor 4.99.3, die die Standardbibliothek **GNU Transport Layer Security (GnuTLS)** für sichere Kommunikation verwenden. Es handelt sich um einen User-after-free (UAF)-Fehler, der während des TLS-Shutdowns beim Verarbeiten von BDAT-chunked SMTP-Traffic ausgelöst wird. **Exim** gibt einen TLS-Transferpuffer frei, verwendet aber später weiterhin veraltete Callback-Referenzen, die Daten in den freigegebenen Speicherbereich schreiben können, was zu nicht authentifizierter Remote Code Execution (RCE) führen kann. **Exim** ist ein weit verbreiteter Open-Source-Mail-Transfer-Agent (MTA), der zum Senden, Empfangen und Weiterleiten von E-Mails auf Linux- und Unix-Servern verwendet wird. Er wird auf Linux-Servern, in Shared-Hosting-Umgebungen, Unternehmensmailsystemen und auf Debian- und Ubuntu-basierten Distributionen eingesetzt, wo er historisch der Standard-Mailserver war. ### Details und Auswirkungen der Schwachstelle **CVE-2026-45185** wurde vom **XBOW**-Forscher **Federico Kirschbaum** entdeckt und gemeldet. Sie betrifft **Exim**-Versionen 4.97 bis 4.99.2 auf Builds, die mit **GnuTLS** kompiliert wurden und STARTTLS und CHUNKING bewerben. OpenSSL-basierte Builds sind nicht betroffen. Angreifer, die die Schwachstelle ausnutzen, könnten Befehle auf dem Server ausführen sowie auf **Exim**-Daten und E-Mails zugreifen und potenziell weiter in die Umgebung eindringen, abhängig von den Serverberechtigungen und der Konfiguration. **XBOW** meldete die Schwachstelle am 1. Mai an die **Exim**-Maintainer und erhielt am 5. Mai eine Bestätigung. Betroffene Linux-Distributionen wurden drei Tage später benachrichtigt. Eine Korrektur für **CVE-2026-45185** wurde in **Exim**-Version 4.99.3 veröffentlicht. ### KI-gestützte Exploit-Erstellung **XBOW** berichtet, dass die Erstellung des Proof-of-Concept (PoC)-Exploits eine siebentägige Herausforderung zwischen dem autonomen KI-gesteuerten Entwicklungssystem des Unternehmens, **XBOW Native**, und einem menschlichen Forscher, der von einem großen Sprachmodell unterstützt wurde, darstellte. Während **XBOW Native** erfolgreich einen funktionierenden Exploit für einen vereinfachten **Exim**-Server produzierte, der keine Address Space Layout Randomization (ASLR) und keine PIE-Binaries (Position Independent Executables) hatte. In einem zweiten Versuch erzielte das LLM einen Exploit auf einer Maschine mit ASLR, aber immer noch einer Nicht-PIE-Binary. "[...] anstatt weiterhin den Allocator von glibc mit Standardmechanismen anzugreifen, hat **XBOW Native** den eigenen Allocator von **Exim** übernommen", sagen die **XBOW**-Forscher. Trotz des überraschenden Ergebnisses unten war es der menschliche Forscher, der das Rennen gewann, mit Unterstützung des LLM für Aufgaben wie das Zusammenstellen von Dateien und das Testen von Ausnutzungsoptionen. Obwohl der Forscher die beeindruckende Geschwindigkeit des LLM anerkannte, erkannte er die Notwendigkeit, das Arbeitsumfeld zu gestalten, anstatt das Modell seinen eigenen Raum schaffen zu lassen. "Ehrlich gesagt, ich glaube nicht, dass LLMs allein schon bereit sind, Exploits gegen reale Software zu schreiben. Nach dieser Erfahrung denke ich, dass sie etwas CTF-förmiges lösen können, aber ich sehe sie noch nicht auf dem Niveau echter Produktionsziele." Dennoch erkannte der Forscher die entscheidende Rolle von KI-Tools dabei, Menschen zu helfen, unbekannten Code zu verstehen und viel schneller als ohne sie tief in verdächtige Bereiche einzudringen. ### Abhilfemaßnahmen Um das Risiko zu mindern, sollten Benutzer von Ubuntu und Debian-basierten Linux-Distributionen die verfügbaren **Exim**-Updates (v4.99.3) über ihre Paketmanager einspielen.