Bulletin de sécurité Microsoft MS14-075 - Important
Les vulnérabilités dans Microsoft Exchange Server pourraient autoriser l’élévation de privilèges (3009712)
Publication : 9 décembre 2014 | Mise à jour : 12 décembre 2014
Version : 3.0
Résumé
Cette mise à jour de sécurité résout quatre vulnérabilités signalées en privé dans Microsoft Exchange Server. La plus grave de ces vulnérabilités peut autoriser l’élévation de privilèges si un utilisateur clique sur une URL spécialement conçue qui les emmène sur un site Outlook Web App ciblé. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site web spécialement conçu. Au lieu de cela, un attaquant devra les convaincre de visiter le site web, généralement en les faisant cliquer sur un lien dans un e-mail ou un message Instantané Messenger qui les emmène sur le site web de l’attaquant, puis les convaincre de cliquer sur l’URL spécialement conçue.
Cette mise à jour de sécurité est évaluée comme importante pour toutes les éditions prises en charge de Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 et Microsoft Exchange Server 2013. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour de sécurité résout les vulnérabilités en veillant à ce qu’Outlook Web App valide correctement les jetons de demande et en veillant à ce que les URL soient correctement nettoyées. Pour plus d’informations sur les vulnérabilités, consultez la section Informations sur les vulnérabilités.
Pour plus d’informations sur ce document, consultez l’article de la Base de connaissances Microsoft 3009712.
Logiciel affecté
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
| Logiciels | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé |
|---|---|---|---|
| Logiciel Microsoft Server | |||
| Microsoft Exchange Server 2007 Service Pack 3 (2996150) | Élévation de privilège | Important | 2903911 dans MS13-105 |
| Microsoft Exchange Server 2010 Service Pack 3 (2986475) | Élévation de privilège | Important | 2905616 dans MS13-105 |
| Microsoft Exchange Server 2013 Service Pack 1 (3011140) | Élévation de privilège | Important | Aucun |
| Microsoft Exchange Server 2013 Cumulative Update 6 (3011140) | Élévation de privilège | Important | Aucun |
Faq sur la mise à jour
Cette mise à jour contient-elle des modifications non liées à la sécurité apportées aux fonctionnalités ?
Non, les Mises à jour de sécurité Exchange Server 2013 contiennent uniquement des correctifs pour le ou les problèmes identifiés dans le bulletin de sécurité.
Les correctifs cumulatifs pour Exchange Server 2007 et Exchange Server 2010 peuvent contenir de nouveaux correctifs supplémentaires. Les clients qui n’ont pas encore été en cours dans leur déploiement des cumuls de mises à jour cumulatives peuvent rencontrer de nouvelles fonctionnalités après l’application de cette mise à jour.
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de décembre.
| Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | |||||
|---|---|---|---|---|---|
| Logiciel affecté | Vulnérabilité d’usurpation d’identité de jeton Outlook Web App - CVE-2014-6319 | Vulnérabilité OWA XSS - CVE-2014-6325 | Vulnérabilité OWA XSS - CVE-2014-6326 | Vulnérabilité de redirection d’URL Exchange - CVE-2014-6336 | Évaluation de gravité agrégée |
| Logiciel Microsoft Server | |||||
| Microsoft Exchange Server 2007 Service Pack 3 | Important \ Usurpation d’identité | Non applicable | Non applicable | Non applicable | Important |
| Microsoft Exchange Server 2010 Service Pack 3 | Important \ Usurpation d’identité | Non applicable | Non applicable | Non applicable | Important |
| Microsoft Exchange Server 2013 Service Pack 1 | Important \ Usurpation d’identité | Important \ Élévation de privilèges | Important \ Élévation de privilèges | Important \ Usurpation d’identité | Important |
| Mise à jour cumulative 6 de Microsoft Exchange Server 2013 | Important \ Usurpation d’identité | Important\ Élévation de privilèges | Important \ Élévation de privilèges | Important \ Usurpation d’identité | Important |
Informations sur la vulnérabilité
Vulnérabilité d’usurpation d’identité de jeton Outlook Web App - CVE-2014-6319
Une vulnérabilité d’usurpation de jeton existe dans Exchange Server lorsque Microsoft Outlook Web App (OWA) ne parvient pas à valider correctement un jeton de demande. Un attaquant qui a réussi à exploiter cette vulnérabilité peut alors utiliser la vulnérabilité pour envoyer un e-mail qui semble provenir d’un utilisateur autre que l’attaquant (par exemple, à partir d’une source approuvée). Les clients qui accèdent à leur messagerie Exchange Server via Outlook Web App sont principalement exposés à cette vulnérabilité. La mise à jour résout la vulnérabilité en veillant à ce qu’Outlook Web App valide correctement les jetons de demande.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lorsque ce bulletin de sécurité a été émis à l’origine. La mise à jour résout la vulnérabilité en veillant à ce qu’Outlook Web App valide correctement les jetons de demande.
Facteurs d’atténuation
Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :
- Dans un scénario d’attaque web, un attaquant peut héberger un site web utilisé pour tenter d’exploiter cette vulnérabilité. En outre, les sites web et sites web compromis qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Toutefois, dans tous les cas, un attaquant n’aurait aucun moyen de forcer les utilisateurs à afficher le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant devra convaincre les utilisateurs de prendre des mesures, généralement en les faisant cliquer sur un lien dans un message électronique ou un message Instantané Messenger qui amène les utilisateurs sur le site web de l’attaquant.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Plusieurs vulnérabilités OWA XSS
L’élévation des vulnérabilités de privilèges existe lorsque Microsoft Exchange Server ne valide pas correctement les entrées. Un attaquant qui a réussi à exploiter ces vulnérabilités peut exécuter un script dans le contexte de l’utilisateur actuel. Un attaquant peut, par exemple, lire le contenu que l’attaquant n’est pas autorisé à lire, utiliser l’identité de la victime pour effectuer des actions sur le site Outlook Web App au nom de la victime, comme modifier les autorisations et supprimer le contenu, et injecter du contenu malveillant dans le navigateur de la victime. Tout système utilisé pour accéder à une version affectée d’Outlook Web App risquerait d’être attaqué. La mise à jour résout les vulnérabilités en veillant à ce que les URL soient correctement nettoyées.
Pour que ces vulnérabilités soient exploitées, un utilisateur doit cliquer sur une URL spécialement conçue qui amène l’utilisateur à un site Outlook Web App ciblé.
Dans un scénario d’attaque par e-mail, un attaquant peut exploiter les vulnérabilités en envoyant un message électronique contenant l’URL spécialement conçue à l’utilisateur du site Outlook Web App ciblé et convaincre l’utilisateur de cliquer sur l’URL spécialement conçue.
Dans un scénario d’attaque basé sur le web, un attaquant doit héberger un site web qui contient une URL spécialement conçue vers le site Outlook Web App ciblé utilisé pour tenter d’exploiter ces vulnérabilités. En outre, les sites web et sites web compromis qui acceptent ou hébergent du contenu fourni par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter ces vulnérabilités. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter un site web spécialement conçu. Au lieu de cela, un attaquant devra les convaincre de visiter le site web, généralement en les faisant cliquer sur un lien dans un e-mail ou un message Instantané Messenger qui les emmène sur le site web de l’attaquant, puis les convaincre de cliquer sur l’URL spécialement conçue.
Le tableau suivant contient des liens vers l’entrée standard pour chaque vulnérabilité dans la liste Des vulnérabilités et des expositions courantes :
| Titre de la vulnérabilité | Numéro CVE | Divulgation publique | Exploités |
|---|---|---|---|
| Vulnérabilité OWA XSS | CVE-2014-6325 | Non | Non |
| Vulnérabilité OWA XSS | CVE-2014-6326 | Non | Non |
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour ces vulnérabilités.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour ces vulnérabilités.
Vulnérabilité de redirection d’URL Exchange - CVE-2014-6336
Une vulnérabilité d’usurpation existe dans Microsoft Exchange lorsque Microsoft Outlook Web App (OWA) ne parvient pas à valider correctement les jetons de redirection. Un attaquant qui a réussi à exploiter cette vulnérabilité peut rediriger un utilisateur vers un domaine arbitraire à partir d’un lien qui semble provenir du domaine de l’utilisateur. Un attaquant peut utiliser la vulnérabilité pour envoyer un e-mail qui semble provenir d’un utilisateur autre que l’attaquant. Les clients qui accèdent à leur messagerie Exchange Server via Outlook Web App sont principalement exposés à cette vulnérabilité. La mise à jour résout la vulnérabilité en veillant à ce que les URL soient correctement nettoyées.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lorsque ce bulletin de sécurité a été émis à l’origine. La mise à jour résout la vulnérabilité en veillant à ce que les URL soient correctement nettoyées.
Facteurs d’atténuation
Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :
- Pour générer le lien malveillant, un attaquant doit déjà être un utilisateur Exchange authentifié et être en mesure d’envoyer des messages électroniques.
- Le lien malveillant peut être envoyé dans un e-mail, mais l’attaquant devra convaincre l’utilisateur d’ouvrir le lien afin d’exploiter la vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (9 décembre 2014) : Bulletin publié.
- V2.0 (10 décembre 2014) : bulletin révisé pour supprimer le lien centre de téléchargement pour la mise à jour de sécurité Microsoft 2986475 pour Microsoft Exchange Server 2010 Service Pack 3 afin de résoudre un problème connu avec la mise à jour. Microsoft travaille à résoudre le problème et mettra à jour ce bulletin lorsque des informations supplémentaires seront disponibles. Microsoft a supprimé les 2986475 de mise à jour et recommande aux clients de désinstaller les 2986475 de mise à jour s’ils l’ont déjà installé.
- V3.0 (12 décembre 2014) : nouveau bulletin pour annoncer la nouvelle mise à jour de sécurité Microsoft 2986475 pour Microsoft Exchange Server 2010 Service Pack 3. La mise à jour réécrite résout un problème connu dans l’offre d’origine. Les clients qui ont désinstallé la mise à jour d’origine doivent installer la version mise à jour de 2986475 au plus tôt.
Page générée 2015-01-14 11 :56Z-08 :00.