Microsoft Security Bulletin MS16-010 – Wichtig
Sicherheitsupdate in Microsoft Exchange Server zum Adressieren von Spoofing (3124557)
Veröffentlicht: 12. Januar 2016
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Exchange Server. Die schwerwiegendsten Sicherheitsrisiken könnten Spoofing zulassen, wenn Outlook Web Access (OWA) webanforderungen nicht ordnungsgemäß verarbeitet und Benutzereingaben und E-Mail-Inhalte sanitiert.
Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Microsoft Exchange Server 2013 und Microsoft Exchange Server 2016 wichtig. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Microsoft Exchange OWA Webanforderungen überprüft, und indem sichergestellt wird, dass OWA benutzereingaben und E-Mail-Inhalte ordnungsgemäß sanitiert. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3124557.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
| Software | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates* |
|---|---|---|---|
| Microsoft Server-Software | |||
| Microsoft Exchange Server 2013 Service Pack 1 (3124557) | Spoofing | Wichtig | 3087126 in MS15-103 |
| Kumulatives Microsoft Exchange Server 2013-Update 10 (3124557) | Spoofing | Wichtig | Keine |
| Kumulatives Microsoft Exchange Server 2013-Update 11 (3124557) | Spoofing | Wichtig | Keine |
| Microsoft Exchange Server 2016 (3124557) | Spoofing | Wichtig | Keine |
*Die Spalte "Updates ersetzt" zeigt nur das neueste Update in jeder Kette von abgelösten Updates an. Um eine umfassende Liste der ersetzten Updates zu erhalten, wechseln Sie zum Microsoft Update-Katalog, suchen Sie nach der UPDATE-KB-Nummer, und zeigen Sie dann Updatedetails an (Updates ersetzte Informationen finden Sie auf der Registerkarte "Paketdetails").
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung vom Januar.
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | |||||
|---|---|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in Exchange-Spoofing – CVE-2016-0029 | Sicherheitsanfälligkeit in Exchange-Spoofing – CVE-2016-0030 | Sicherheitsanfälligkeit in Exchange-Spoofing – CVE-2016-0031 | Sicherheitsanfälligkeit in Exchange-Spoofing – CVE-2016-0032 | Bewertung des aggregierten Schweregrads |
| Microsoft Server-Software | |||||
| Microsoft Exchange Server 2013 Service Pack 1 (3124557) | Nicht zutreffend | Wichtige Spoofing | Nicht zutreffend | Wichtige Spoofing | Wichtig |
| Kumulatives Microsoft Exchange Server 2013-Update 10 (3124557) | Nicht zutreffend | Wichtige Spoofing | Nicht zutreffend | Wichtige Spoofing | Wichtig |
| Kumulatives Microsoft Exchange Server 2013-Update 11 (3124557) | Nicht zutreffend | Nicht verfügbar | Nicht zutreffend | Wichtige Spoofing | Wichtig |
| Microsoft Exchange Server 2016 (3124557) | Wichtige Spoofing | Wichtige Spoofing | Wichtige Spoofing | Wichtige Spoofing | Wichtig |
Informationen zu Sicherheitsrisiken
Mehrere Exchange-Spoofingrisiken
Mehrere Spoofingrisiken sind in Microsoft Exchange Server vorhanden, wenn Outlook Web Access (OWA) webanforderungen nicht ordnungsgemäß verarbeitet. Ein Angreifer, der die Sicherheitsanfälligkeiten erfolgreich ausgenutzt hat, kann Skript- oder Inhaltseinfügungsangriffe ausführen und versuchen, den Benutzer dazu zu bringen, vertrauliche Informationen offenzulegen. Ein Angreifer könnte den Benutzer auch zu einer bösartigen Website umleiten, die Inhalte spoofen oder als Pivot verwendet werden kann, um einen Angriff mit anderen Sicherheitsrisiken in Webdiensten zu verketten.
Um die Sicherheitsanfälligkeiten auszunutzen, könnte ein Angreifer eine speziell gestaltete E-Mail senden, die einen schädlichen Link zu einem Benutzer enthält. Ein Angreifer könnte auch einen Chatclient verwenden, um einen Benutzer für soziale Netzwerke zu verwenden, um auf den bösartigen Link zu klicken. In beiden Beispielen muss der Benutzer jedoch auf den bösartigen Link klicken. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie OWA Webanforderungen überprüft.
Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:
| Titel der Sicherheitsanfälligkeit | CVE-Nummer | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| Sicherheitsanfälligkeit in Exchange-Spoofing | CVE-2016-0029 | No | No |
| Sicherheitsanfälligkeit in Exchange-Spoofing | CVE-2016-0030 | No | No |
| Sicherheitsanfälligkeit in Exchange-Spoofing | CVE-2016-0031 | No | No |
| Sicherheitsanfälligkeit in Exchange-Spoofing | CVE-2016-0032 | No | No |
Mildernde Faktoren
Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:
- Um den bösartigen Link zu generieren, muss ein Angreifer bereits ein authentifizierter Microsoft Exchange-Benutzer sein und in der Lage sein, E-Mail-Nachrichten zu senden.
- Der bösartige Link könnte in einer E-Mail gesendet werden, aber der Angreifer müsste einen Benutzer davon überzeugen, den Link zu öffnen, um die Sicherheitsanfälligkeit auszunutzen.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (12. Januar 2015): Bulletin veröffentlicht.
Seite generiert 2016-03-22 12:35-07:00.