Bulletin de sécurité
Bulletin de sécurité Microsoft MS13-105 - Critique
Les vulnérabilités dans Microsoft Exchange Server pourraient autoriser l’exécution de code à distance (2915705)
Publication : 10 décembre 2013 | Mise à jour : 10 décembre 2013
Version : 1.1
Informations générales
Résumé
Cette mise à jour de sécurité résout trois vulnérabilités divulguées publiquement et une vulnérabilité signalée en privé dans Microsoft Exchange Server. La plus grave de ces vulnérabilités existe dans les fonctionnalités d’affichage de documents WebReady et de protection contre la perte de données de Microsoft Exchange Server. Ces vulnérabilités peuvent autoriser l’exécution de code à distance dans le contexte de sécurité du compte LocalService si un attaquant envoie un message électronique contenant un fichier spécialement conçu à un utilisateur sur un serveur Exchange affecté. Le compte LocalService dispose de privilèges minimaux sur le système local et présente des informations d’identification anonymes sur le réseau.
Cette mise à jour de sécurité est évaluée critique pour toutes les éditions prises en charge de Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 et Microsoft Exchange Server 2013. Pour plus d’informations, consultez la sous-section, Les logiciels affectés et non affectés, dans cette section.
La mise à jour de sécurité résout les vulnérabilités en mettant à jour les bibliothèques Oracle Outside In affectées vers une version non vulnérable, en activant l’authentification automatique case activée (MAC) en fonction des meilleures pratiques et en garantissant que les URL sont correctement nettoyées. Pour plus d’informations sur les vulnérabilités, consultez la sous-section Questions fréquentes (FAQ) pour connaître l’entrée de vulnérabilités spécifique dans la section suivante, Informations sur les vulnérabilités.
Recommandation. Les clients peuvent configurer la mise à jour automatique vers case activée en ligne pour les mises à jour de Microsoft Update à l’aide du service Microsoft Update. Les clients qui ont activé et configuré la mise à jour automatique pour case activée en ligne pour les mises à jour de Microsoft Update n’auront généralement pas besoin d’effectuer d’action, car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Les clients qui n’ont pas activé la mise à jour automatique doivent case activée pour les mises à jour de Microsoft Update et installer cette mise à jour manuellement. Pour plus d’informations sur les options de configuration spécifiques dans la mise à jour automatique dans les éditions prises en charge de Windows XP et Windows Server 2003, consultez l’article 294871 de la Base de connaissances Microsoft. Pour plus d’informations sur la mise à jour automatique dans les éditions prises en charge de Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2, consultez Présentation de la mise à jour automatique de Windows.
Pour les administrateurs et les installations d’entreprise ou les utilisateurs finaux qui souhaitent installer cette mise à jour de sécurité manuellement, Microsoft recommande aux clients d’appliquer la mise à jour immédiatement à l’aide du logiciel de gestion des mises à jour, ou en case activée pour les mises à jour à l’aide du service Microsoft Update.
Consultez également la section Outils de détection et de déploiement et conseils, plus loin dans ce bulletin.
Problèmes connus. Aucun
Article de la base de connaissances
| Article de la base de connaissances | 2915705 |
|---|---|
| informations relatives aux fichiers | Oui |
| Hachages SHA1/SHA2 | Oui |
| Problèmes connus | Oui |
Logiciels affectés et non affectés
Le logiciel suivant a été testé pour déterminer quelles versions ou éditions sont affectées. D’autres versions ou éditions dépassent leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
Logiciel affecté
| Logiciel | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé |
|---|---|---|---|
| Logiciel Microsoft Server | |||
| Microsoft Exchange Server 2007 Service Pack 3 (2903911) | Exécution de code à distance | Critique | 2873746 dans MS13-061 |
| Microsoft Exchange Server 2010 Service Pack 2 (2903903) | Exécution de code à distance | Critique | 2874216 dans MS13-061 |
| Microsoft Exchange Server 2010 Service Pack 3 (2905616) | Exécution de code à distance | Critique | 2866475 dans MS13-061 |
| Microsoft Exchange Server 2013 Cumulative Update 2 (2880833) | Exécution de code à distance | Critique | 2866475 dans MS13-061 |
| Microsoft Exchange Server 2013 Cumulative Update 3 (2880833) | Exécution de code à distance | Critique | Aucun |
Logiciels non affectés
| Logiciel Microsoft Server |
|---|
| Microsoft Exchange Server 2003 Service Pack 2 |
Faq sur la mise à jour
Que se passe-t-il si une mise à jour de sécurité ou tout autre correctif de mise à jour intermédiaire est désinstallé ?
La suppression d’une mise à jour de sécurité ou d’un correctif de mise à jour intermédiaire sur Exchange Server 2013 Cumulative Update 2 entraîne l’échec du service d’indexation de contenu. Pour restaurer toutes les fonctionnalités, il sera nécessaire de suivre les étapes décrites dans l’article de la Base de connaissances 2879739 Ces instructions ne s’appliquent pas à la mise à jour cumulative 3 ou ultérieure.
Les avis de mise à jour des correctifs critiques Oracle indiquent plusieurs vulnérabilités. Quelles vulnérabilités cette mise à jour adresse-t-elle ?
Cette mise à jour résout deux vulnérabilités : CVE-2013-5763 et CVE-2013-5791, comme indiqué dans l’avis de mise à jour des correctifs critiques Oracle - octobre 2013.
Cette mise à jour contient-elle des modifications non liées à la sécurité apportées aux fonctionnalités ?
Non, les Mises à jour de sécurité Exchange Server 2013 contiennent uniquement des correctifs pour le ou les problèmes identifiés dans le bulletin de sécurité.
Les correctifs cumulatifs pour Exchange Server 2007 et Exchange Server 2010 peuvent contenir de nouveaux correctifs supplémentaires, mais ne le font pas pour cette version particulière.
Les correctifs cumulatifs qui résolvent les problèmes de ce bulletin contiennent uniquement des correctifs de sécurité qui ont été publiés depuis le précédent correctif cumulatif de mise à jour pour chaque produit est devenu disponible. Les correctifs cumulatifs Exchange Server 2007 et Exchange Server 2010 sont cumulatifs ; par conséquent, le package contient tous les correctifs de sécurité et non de sécurité précédemment publiés qui ont été contenus dans les correctifs cumulatifs précédents. Les clients qui n’ont pas conservé le courant dans leur déploiement de correctifs cumulatifs peuvent rencontrer de nouvelles fonctionnalités après l’application de cette mise à jour.
Deux des vulnérabilités sont des vulnérabilités dans le code tiers, Oracle Outside In libraries. Pourquoi Microsoft émet-il une mise à jour de sécurité ?
Microsoft licence une implémentation personnalisée des bibliothèques Oracle Outside In, propre au produit dans lequel le code tiers est utilisé. Microsoft émet cette mise à jour de sécurité pour vous assurer que tous les clients qui utilisent ce code tiers dans Microsoft Exchange sont protégés contre ces vulnérabilités.
J’utilise une version plus ancienne du logiciel abordé dans ce bulletin de sécurité. Que dois-je faire ?
Le logiciel concerné répertorié dans ce bulletin a été testé pour déterminer quelles versions sont affectées. D’autres versions sont passées au-delà de leur cycle de vie de support. Pour plus d’informations sur le cycle de vie des produits, consultez le site web Support Microsoft cycle de vie.
Il doit s’agir d’une priorité pour les clients qui ont des versions antérieures du logiciel à migrer vers des versions prises en charge afin d’éviter toute exposition potentielle aux vulnérabilités. Pour déterminer le cycle de vie de prise en charge de votre version logicielle, consultez Sélectionner un produit pour les informations de cycle de vie. Pour plus d’informations sur les Service Packs pour ces versions logicielles, consultez La politique de support du cycle de vie service Pack.
Les clients qui ont besoin d’un support personnalisé pour les logiciels plus anciens doivent contacter leur représentant de l’équipe de compte Microsoft, leur responsable de compte technique ou le représentant partenaire Microsoft approprié pour les options de support personnalisé. Les clients sans contrat Alliance, Premier ou Autorisé peuvent contacter leur bureau de vente Microsoft local. Pour obtenir des informations de contact, consultez le site web Microsoft Worldwide Information , sélectionnez le pays dans la liste des informations de contact, puis cliquez sur Atteindre pour afficher la liste des numéros de téléphone. Lorsque vous appelez, demandez à parler avec le directeur commercial premier support local. Pour plus d’informations, consultez le FAQ Support Microsoft politique de cycle de vie.
Informations sur la vulnérabilité
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de décembre. Pour plus d’informations, consultez Microsoft Exploitability Index.
| Logiciel affecté | Oracle externe contient plusieurs vulnérabilités exploitables :\ CVE-2013-5763 | Oracle externe contient plusieurs vulnérabilités exploitables :\ CVE-2013-5791 | Vulnérabilité désactivée par MAC - CVE-2013-1330 | Vulnérabilité OWA XSS - CVE-2013-5072 | Évaluation de gravité agrégée |
|---|---|---|---|---|---|
| Microsoft Exchange Server 2007 Service Pack 3 \ (2903911) | Critique \ Exécution de code distant | Critique \ Exécution de code distant | Critique \ Exécution de code distant | Non applicable | Critique |
| Microsoft Exchange Server 2010 Service Pack 2 \ (2903903) | Critique \ Exécution de code distant | Critique \ Exécution de code distant | Critique \ Exécution de code distant | Important \ Élévation de privilèges | Critique |
| Microsoft Exchange Server 2010 Service Pack 3 \ (2905616) | Critique \ Exécution de code distant | Critique \ Exécution de code distant | Critique \ Exécution de code distant | Important \ Élévation de privilèges | Critique |
| Microsoft Exchange Server 2013 Cumulative Update 2 \ (2880833) | Critique \ Exécution de code distant | Critique \ Exécution de code distant | Critique \ Exécution de code distant | Important \ Élévation de privilèges | Critique |
| Microsoft Exchange Server 2013 Cumulative Update 3 \ (2880833) | Critique \ Exécution de code distant | Critique \ Exécution de code distant | Critique \ Exécution de code distant | Important \ Élévation de privilèges | Critique |
Oracle externe contient plusieurs vulnérabilités exploitables
Deux des vulnérabilités traitées dans ce bulletin, CVE-2013-5763 et CVE-2013-5791, existent dans Exchange Server 2007, Exchange Server 2010 et Exchange Server 2013 via la fonctionnalité d’affichage de documents WebReady. Les vulnérabilités peuvent autoriser l’exécution de code à distance en tant que compte LocalService si un utilisateur affiche un fichier spécialement conçu via Outlook Web Access dans un navigateur. Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code sur le serveur Exchange affecté, mais uniquement en tant que compte LocalService. Le compte LocalService dispose de privilèges minimaux sur l’ordinateur local et présente des informations d’identification anonymes sur le réseau.
En outre, CVE-2013-5763 et CVE-2013-5791 existent dans Exchange Server 2013 via la fonctionnalité DLP (Data Loss Protection). Cette vulnérabilité peut entraîner le non-réponse d’Exchange Server affecté si un utilisateur envoie ou reçoit un fichier spécialement conçu.
Pour afficher ces vulnérabilités comme entrée standard dans la liste Common Vulnerabilities and Exposures, consultez CVE-2013-5763 et CVE-2013-5791.
Facteurs d’atténuation
L’atténuation fait référence à un paramètre, à une configuration courante ou à une meilleure pratique générale, existant dans un état par défaut, qui peut réduire la gravité de l’exploitation d’une vulnérabilité. Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :
- Le service de transcodage dans Exchange utilisé pour l’affichage de documents WebReady s’exécute dans le compte LocalService. Le compte LocalService dispose de privilèges minimaux sur l’ordinateur local et présente des informations d’identification anonymes sur le réseau.
- Le service de gestion du filtrage dans Exchange utilisé pour la protection contre la perte de données s’exécute dans le compte LocalService. Le compte LocalService dispose de privilèges minimaux sur le système local et présente des informations d’identification anonymes sur le réseau.
Solutions de contournement
La solution de contournement fait référence à un paramètre ou à une modification de configuration qui ne corrige pas la vulnérabilité sous-jacente, mais qui permet de bloquer les vecteurs d’attaque connus avant d’appliquer la mise à jour. Microsoft a testé les solutions de contournement et les états suivants dans la discussion si une solution de contournement réduit les fonctionnalités :
Désactiver la protection contre la perte de données (Exchange Server 2013 uniquement)
Connectez-vous à Exchange Management Shell en tant qu’organisation Exchange Administration istrator.
Émettez l’une des commandes PowerShell suivantes en fonction de la version d’Exchange Server 2013 installée :
Pour Exchange Server 2013 Cumulative Update 2 ou Cumulative Update 3 :
Add-PSSnapin Microsoft.Forefront.Filtering.Management.PowerShell Set-TextExtractionScanSettings -EnableModules AdeModule.dll, FilterModule.dll, TextConversionModule.dll
Impact de la solution de contournement. Les stratégies DLP qui dépendent des bibliothèques Outside In ne fonctionnent pas. Le script fourni pour l’Mises à jour cumulative entraîne le redémarrage des services de gestion du transport et du filtrage.
Comment faire annuler la solution de contournement ?
Connectez-vous à Exchange Management Shell en tant qu’organisation Exchange Administration istrator.
Émettez l’une des commandes PowerShell suivantes, selon la version d’Exchange Server 2013 installée :
Pour Exchange Server 2013 Cumulative Update 2 ou Cumulative Update 3 :
Add-PSSnapin Microsoft.Forefront.Filtering.Management.PowerShell Set-TextExtractionScanSettings -EnableModules AdeModule.dll, FilterModule.dll, TextConversionModule.dll OutsideInModule.dll
Désactiver la vue de document WebReady (Exchange Server 2007, Exchange Server 2010 et Exchange Server 2013)
Connectez-vous à Exchange Management Shell en tant qu’organisation Exchange Administration istrator.
Émettez la commande PowerShell suivante :
Get-OwaVirtualDirectory | where {$_.OwaVersion -eq 'Exchange2007' -or $_.OwaVersion -eq 'Exchange2010' -or $_.OwaVersion -eq 'Exchange2013'} | Set-OwaVirtualDirectory - WebReadyDocumentViewingOnPublicComputersEnabled:$False - WebReadyDocumentViewingOnPrivateComputersEnabled:$False
Impact de la solution de contournement. Les utilisateurs OWA peuvent ne pas être en mesure d’afficher un aperçu du contenu des pièces jointes de courrier électronique.
Comment faire annuler la solution de contournement ?
Connectez-vous à Exchange Management Shell en tant qu’organisation Exchange Administration istrator.
Émettez la commande PowerShell suivante :
Get-OwaVirtualDirectory | where {$_.OwaVersion -eq 'Exchange2007' -or $_.OwaVersion -eq 'Exchange2010' -or $_.OwaVersion -eq 'Exchange2013'} | Set-OwaVirtualDirectory - WebReadyDocumentViewingOnPublicComputersEnabled:$True - WebReadyDocumentViewingOnPrivateComputersEnabled:$TrueNotez que les étapes ci-dessus supposent que l’Administration istrateur Exchange avait précédemment autorisé l’affichage des documents WebReady sur les connexions publiques et privées à OWA. La valeur $True ou $False appropriée doit être utilisée pour définir le comportement souhaité en fonction de l’ouverture de session de l’utilisateur.
FAQ
Quelle est l’étendue des vulnérabilités ?
Il s’agit de vulnérabilités d’exécution de code à distance.
Quelles sont les causes des vulnérabilités ?
Les vulnérabilités sont provoquées lorsqu’une version vulnérable des bibliothèques Oracle Outside In est utilisée pour analyser des fichiers spécialement conçus.
Qu’est-ce que les bibliothèques Oracle Outside In ?
Dans Exchange Server 2007, Exchange Server 2010 et Exchange Server 2013, les utilisateurs d’Outlook Web App (OWA) sont fournis avec une fonctionnalité appelée Affichage de documents WebReady qui permet aux utilisateurs d’afficher certaines pièces jointes en tant que pages web au lieu de s’appuyer sur des applications locales pour les ouvrir ou les afficher. Les bibliothèques Oracle Outside In sont utilisées par le processus de conversion sur le serveur principal pour prendre en charge la fonctionnalité WebReady. Microsoft licence ces bibliothèques à partir d’Oracle.
Dans Exchange Server 2013, exchange Data Loss Prevention (DLP) tire parti des bibliothèques Oracle Outside In dans le cadre de ses fonctionnalités d’analyse de fichiers.
Qu’est-ce que l’affichage de documents WebReady ?
La fonctionnalité d’affichage de documents WebReady permet aux utilisateurs d’afficher certaines pièces jointes en tant que page web. Exchange Server 2007, Exchange Server 2010 et Exchange Server 2013 effectuent la conversion. Par conséquent, l’utilisateur n’a pas besoin d’un autre navigateur web pour afficher les pièces jointes.
Qu’est-ce que la protection contre la perte de données (DLP) ?
La protection contre la perte de données (DLP) est une fonctionnalité d’Exchange 2013 qui permet aux clients d’identifier, de surveiller et de protéger les données sensibles via une analyse approfondie du contenu.
Qu’est-ce qu’un attaquant peut utiliser ces vulnérabilités pour faire ?
Dans Exchange Server 2007, Exchange Server 2010 et Exchange Server 2013, un attaquant qui a réussi à exploiter ces vulnérabilités peut exécuter du code arbitraire dans le contexte de sécurité du service de transcodage dans Exchange utilisé par la fonctionnalité d’affichage de documents WebReady.
Dans Exchange Server 2013, un attaquant qui a réussi à exploiter ces vulnérabilités peut exécuter du code arbitraire dans le contexte de sécurité du service de gestion du filtrage dans Exchange utilisé par la fonctionnalité protection contre la perte de données.
Le service de transcodage utilisé par la fonctionnalité d’affichage de documents WebReady et le service gestion du filtrage utilisé par la fonctionnalité protection contre la perte de données s’exécutent en tant que compte LocalService. Le compte LocalService dispose de privilèges minimaux sur l’ordinateur local et présente des informations d’identification anonymes sur le réseau.
Comment un attaquant pourrait-il exploiter ces vulnérabilités ?
Un attaquant peut envoyer un e-mail contenant un fichier spécialement conçu à un utilisateur sur un serveur Exchange affecté.
Dans Exchange Server 2007, Exchange Server 2010 et Exchange Server 2013, les vulnérabilités peuvent être exploitées via la fonctionnalité Affichage de documents WebReady si un utilisateur affiche un aperçu d’un message électronique contenant un fichier spécialement conçu à l’aide d’Outlook Web App (OWA).
Dans Exchange Server 2013, les vulnérabilités peuvent être exploitées par le biais de la fonctionnalité Protection contre la perte de données si un message électronique contenant un fichier spécialement conçu est reçu par le serveur Exchange.
Quels systèmes sont principalement exposés aux vulnérabilités ?
Les systèmes exécutant des versions affectées d’Exchange Server sont principalement exposés à ces vulnérabilités.
Que fait la mise à jour ?
La mise à jour résout les vulnérabilités en mettant à jour les bibliothèques Oracle Outside In affectées vers une version non vulnérable.
Quand ce bulletin de sécurité a été émis, ces vulnérabilités ont-elles été divulguées publiquement ?
Oui. Ces vulnérabilités ont été divulguées publiquement. Ils ont été affectés aux numéros d’exposition et de vulnérabilité courants suivants :
Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que ces vulnérabilités étaient exploitées ?
Non. Microsoft n’avait reçu aucune information pour indiquer que ces vulnérabilités avaient été utilisées publiquement pour attaquer les clients lorsque ce bulletin de sécurité a été émis à l’origine.
Vulnérabilité désactivée par MAC - CVE-2013-1330
Une vulnérabilité d’exécution de code à distance existe dans Microsoft Exchange Server. Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte du service Outlook Web Access (OWA), qui s’exécute sous le compte système local par défaut.
Pour afficher cette vulnérabilité comme entrée standard dans la liste Des vulnérabilités et des expositions courantes, consultez CVE-2013-1330.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
FAQ
Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’exécution de code à distance.
Quelles sont les causes de la vulnérabilité ?
Cette vulnérabilité est due au fait qu’Exchange Server ne valide pas correctement l’entrée.
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter du code arbitraire dans le contexte du service Outlook Web Access (OWA), qui s’exécute sous le compte système local par défaut.
Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Dans un scénario d’attaque, l’attaquant peut envoyer du contenu spécialement conçu au serveur cible.
Quels systèmes sont principalement exposés à la vulnérabilité ?
Tout système exécutant une version affectée d’Exchange Server qui exécute Outlook Web Access est affecté par cette vulnérabilité.
Que fait la mise à jour ?
La mise à jour résout la vulnérabilité en activant l’authentification automatique case activée (MAC) en fonction des meilleures pratiques.
Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Oui. Cette vulnérabilité a été divulguée publiquement. Il a été affecté à la vulnérabilité commune et au numéro d’exposition CVE-2013-1330.
Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lorsque ce bulletin de sécurité a été émis à l’origine.
Vulnérabilité OWA XSS - CVE-2013-5072
Une vulnérabilité d’élévation de privilèges existe dans Microsoft Exchange Server. Un attaquant qui a réussi à exploiter cette vulnérabilité peut exécuter un script dans le contexte de l’utilisateur actuel.
Pour afficher cette vulnérabilité comme entrée standard dans la liste Des vulnérabilités et des expositions courantes, consultez CVE-2013-5072.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
FAQ
Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité d’élévation de privilèges.
Quelles sont les causes de la vulnérabilité ?
Cette vulnérabilité est due au fait qu’Exchange Server ne valide pas correctement l’entrée.
Qu’est-ce que l’écriture de scripts intersites ?
Le script intersites (XSS) est une classe de vulnérabilité de sécurité qui peut permettre à un attaquant d’injecter du code de script dans la session d’un utilisateur avec un site web. La vulnérabilité peut affecter les serveurs web qui génèrent dynamiquement des pages HTML. Si ces serveurs incorporent l’entrée du navigateur dans les pages dynamiques qu’ils renvoient au navigateur, ces serveurs peuvent être manipulés pour inclure du contenu fourni de manière malveillante dans les pages dynamiques. Cela peut permettre l’exécution d’un script malveillant. Les navigateurs web peuvent perpétuer ce problème par le biais de leurs hypothèses de sites approuvés et de leur utilisation de cookies pour maintenir l’état persistant avec les sites web qu’ils fréquentent. Une attaque XSS ne modifie pas le contenu du site web. Au lieu de cela, il insère un nouveau script malveillant qui peut s’exécuter sur le navigateur dans le contexte associé à un serveur approuvé.
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut lire du contenu que l’attaquant n’est pas autorisé à lire, utiliser l’identité de la victime pour effectuer des actions sur le site Outlook Web Access au nom de la victime, telles que modifier les autorisations et supprimer le contenu, et injecter du contenu malveillant dans le navigateur de la victime.
Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Pour que cette vulnérabilité soit exploitée, un utilisateur doit cliquer sur une URL spécialement conçue qui amène l’utilisateur à un site Outlook Web Access ciblé.
Dans un scénario d’attaque par e-mail, un attaquant pourrait exploiter la vulnérabilité en envoyant un message électronique contenant l’URL spécialement conçue à l’utilisateur du site Outlook Web Access ciblé et convaincre l’utilisateur de cliquer sur l’URL spécialement conçue.
Dans un scénario d’attaque web, un attaquant doit héberger un site web contenant une URL spécialement conçue vers le site Outlook Web Access ciblé utilisé pour tenter d’exploiter cette vulnérabilité. En outre, les sites web et sites web compromis qui acceptent ou hébergent du contenu fourni par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site web spécialement conçu. Au lieu de cela, un attaquant devra les convaincre de visiter le site web, généralement en les faisant cliquer sur un lien dans un e-mail ou un message Instantané Messenger qui les emmène sur le site web de l’attaquant, puis les convaincre de cliquer sur l’URL spécialement conçue.
Quels systèmes sont principalement exposés à la vulnérabilité ?
Tout système utilisé pour accéder à une version affectée d’Outlook Web Access risquerait d’être attaqué.
Que fait la mise à jour ?
La mise à jour résout la vulnérabilité en veillant à ce que les URL soient correctement nettoyées.
Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Non. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités.
Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lorsque ce bulletin de sécurité a été émis à l’origine.
Mettre à jour les informations
Outils et conseils de détection et de déploiement
Plusieurs ressources sont disponibles pour aider les administrateurs à déployer des mises à jour de sécurité.
- Microsoft Baseline Security Analyzer (Mo SA) permet aux administrateurs d’analyser les systèmes locaux et distants pour détecter les mises à jour de sécurité manquantes et les configurations incorrectes de sécurité courantes.
- Windows Server Update Services (WSUS), Systems Management Server (SMS) et System Center Configuration Manager aident les administrateurs à distribuer les mises à jour de sécurité.
- Les composants de l’évaluateur de compatibilité de mise à jour inclus avec la compatibilité des applications Shared Computer Toolkit facilitent le test et la validation des mises à jour Windows sur les applications installées.
Pour plus d’informations sur ces outils et d’autres outils disponibles, consultez Outils de sécurité pour les professionnels de l’informatique.
Déploiement des mises à jour de sécurité
Logiciel affecté
Pour plus d’informations sur la mise à jour de sécurité spécifique pour votre logiciel concerné, cliquez sur le lien approprié :
Microsoft Exchange Server 2007 Service Pack 3
Tableau de référence
Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
| Inclusion dans les Service Packs futurs | La mise à jour de ce problème sera incluse dans un correctif cumulatif ou un correctif cumulatif |
|---|---|
| Nom du fichier de mise à jour de sécurité | Pour Microsoft Exchange Server 2007 Service Pack 3 :\ Exchange2007-Ko 2903911-x64-EN.msp |
| Commutateurs d’installation | Consultez l’article 912203 de la Base de connaissances Microsoft |
| Configuration requise pour le redémarrage | Non, cette mise à jour ne nécessite pas de redémarrage. Le programme d’installation arrête les services requis, applique la mise à jour, puis redémarre les services. Toutefois, si les services requis ne peuvent pas être arrêtés pour une raison quelconque ou si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer.\ Pour réduire le risque qu’un redémarrage soit nécessaire, arrêtez tous les services affectés et fermez toutes les applications susceptibles d’utiliser les fichiers affectés avant d’installer la mise à jour de sécurité. Pour plus d’informations sur les raisons pour lesquelles vous pouvez être invité à redémarrer, consultez l’article de la Base de connaissances Microsoft 887012. |
| Mettre à jour le fichier journal | Ko 2903911.log |
| Informations de suppression | Utilisez l’élément Ajouter ou supprimer des programmes dans Panneau de configuration. |
| Informations sur le fichier | Consultez l’article 2903911 de la Base de connaissances Microsoft |
| Vérification de la clé de Registre | Pour Microsoft Exchange Server 2007 Service Pack 3 :\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Exchange 2007\SP2\Ko 2903911 |
Microsoft Exchange Server 2010 Service Pack 2
Tableau de référence
Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
| Inclusion dans les Service Packs futurs | La mise à jour de ce problème sera incluse dans un correctif cumulatif ou un correctif cumulatif |
|---|---|
| Nom du fichier de mise à jour de sécurité | Pour Microsoft Exchange Server 2010 Service Pack 2 :\ Exchange2010-Ko 2903903-x64-en.msp |
| Commutateurs d’installation | Consultez l’article 912203 de la Base de connaissances Microsoft |
| Configuration requise pour le redémarrage | Non, cette mise à jour ne nécessite pas de redémarrage. Le programme d’installation arrête les services requis, applique la mise à jour, puis redémarre les services. Toutefois, si les services requis ne peuvent pas être arrêtés pour une raison quelconque ou si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer.\ Pour réduire le risque qu’un redémarrage soit nécessaire, arrêtez tous les services affectés et fermez toutes les applications susceptibles d’utiliser les fichiers affectés avant d’installer la mise à jour de sécurité. Pour plus d’informations sur les raisons pour lesquelles vous pouvez être invité à redémarrer, consultez l’article de la Base de connaissances Microsoft 887012. |
| Mettre à jour le fichier journal | Ko 2903903.log |
| Informations de suppression | Utilisez l’élément Ajouter ou supprimer des programmes dans Panneau de configuration. |
| Informations sur le fichier | Consultez l’article de la Base de connaissances Microsoft 2903903 |
| Vérification de la cléde Registre | Pour Microsoft Exchange Server 2010 Service Pack 2 :\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Exchange 2010\SP1\Ko 2903903 |
Microsoft Exchange Server 2010 Service Pack 3
Tableau de référence
Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
| Inclusion dans les Service Packs futurs | La mise à jour de ce problème sera incluse dans un correctif cumulatif ou un correctif cumulatif |
|---|---|
| Nom du fichier de mise à jour de sécurité | Pour Microsoft Exchange Server 2010 Service Pack 3 :\ Exchange2010-Ko 2905616-x64-en.msp |
| Commutateurs d’installation | Consultez l’article 912203 de la Base de connaissances Microsoft |
| Configuration requise pour le redémarrage | Non, cette mise à jour ne nécessite pas de redémarrage. Le programme d’installation arrête les services requis, applique la mise à jour, puis redémarre les services. Toutefois, si les services requis ne peuvent pas être arrêtés pour une raison quelconque ou si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer.\ Pour réduire le risque qu’un redémarrage soit nécessaire, arrêtez tous les services affectés et fermez toutes les applications susceptibles d’utiliser les fichiers affectés avant d’installer la mise à jour de sécurité. Pour plus d’informations sur les raisons pour lesquelles vous pouvez être invité à redémarrer, consultez l’article de la Base de connaissances Microsoft 887012. |
| Mettre à jour le fichier journal | Ko 2905616.log |
| Informations de suppression | Utilisez l’élément Ajouter ou supprimer des programmes dans Panneau de configuration. |
| Informations sur le fichier | Consultez l’article 2905616 de la Base de connaissances Microsoft |
| Vérification de la clé de Registre | Pour Microsoft Exchange Server 2010 Service Pack 3 :\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Exchange 2010\SP3\Ko 2905616 |
Microsoft Exchange Server 2013
Tableau de référence
Le tableau suivant contient les informations de mise à jour de sécurité pour ce logiciel.
| Inclusion dans les Service Packs futurs | La mise à jour de ce problème sera incluse dans un prochain Service Pack ou une mise à jour cumulative. |
|---|---|
| Nom du fichier de mise à jour de sécurité | Pour Microsoft Exchange Server 2013 Cumulative Update 2 et Microsoft Exchange Server 2013 Cumulative Update 3 :\ Exchange2013-Ko 2880833-x64-en.msp |
| Commutateurs d’installation | Consultez l’article 912203 de la Base de connaissances Microsoft |
| Configuration requise pour le redémarrage | Non, cette mise à jour ne nécessite pas de redémarrage. Le programme d’installation arrête les services requis, applique la mise à jour, puis redémarre les services. Toutefois, si les services requis ne peuvent pas être arrêtés pour une raison quelconque ou si les fichiers requis sont utilisés, cette mise à jour nécessite un redémarrage. Si ce comportement se produit, un message s’affiche qui vous conseille de redémarrer.\ Pour réduire le risque qu’un redémarrage soit nécessaire, arrêtez tous les services affectés et fermez toutes les applications susceptibles d’utiliser les fichiers affectés avant d’installer la mise à jour de sécurité. Pour plus d’informations sur les raisons pour lesquelles vous pouvez être invité à redémarrer, consultez l’article de la Base de connaissances Microsoft 887012. |
| Mettre à jour le fichier journal | Ko 2880833.log |
| Informations de suppression | Utilisez l’élément Ajouter ou supprimer des programmes dans Panneau de configuration. |
| Informations sur le fichier | Consultez l’article 2880833 de la Base de connaissances Microsoft |
| Vérification de la clé de Registre | Pour les éditions prises en charge de Microsoft Exchange Server 2013 :\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mises à jour\Exchange 2013\SP1\Ko 2880833 |
Autres informations
Remerciements
Microsoft remercie ce qui suit pour nous aider à protéger les clients :
- Security, au nom de Criteo, pour signaler la vulnérabilité OWA XSS (CVE-2013-5072)
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, accédez aux sites web de protection actifs fournis par les partenaires du programme, répertoriés dans les partenaires microsoft Active Protections Program (MAPP).
Support
Comment obtenir de l’aide et de la prise en charge de cette mise à jour de sécurité
- Aide sur l’installation des mises à jour : Prise en charge de Microsoft Update
- Solutions de sécurité pour les professionnels de l’informatique : Résolution des problèmes et support de techNet Security
- Aider à protéger votre ordinateur exécutant Windows contre les virus et les programmes malveillants : Solution antivirus et Security Center
- Support local selon votre pays : Support international
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (10 décembre 2013) : Bulletin publié.
- V1.1 (10 décembre 2013) : Mise à jour de l’entrée Problèmes connus dans la section Article de la Base de connaissances « None » sur « Oui ».
Construit à 2014-04-18T13 :49 :36Z-07 :00