Microsoft Security Bulletin MS14-075 - Importante

Vulnerabilidades no Microsoft Exchange Server podem permitir elevação de privilégio (3009712)

Publicado: terça-feira, 9 de dezembro de 2014 | Atualizado: December 12, 2014

Versão: 3.0

Resumo executivo

Esta atualização de segurança elimina quatro vulnerabilidades relatadas em particular no Microsoft Exchange Server. A mais grave dessas vulnerabilidades pode permitir a elevação de privilégio se um usuário clicar em uma URL especialmente criada que o levará a um site do Outlook Web App de destino. Um invasor não teria como forçar os usuários a visitar um site especialmente criado. Em vez disso, um invasor teria que convencê-los a visitar o site, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou mensagem do Instant Messenger que os leve ao site do invasor e, em seguida, convencê-los a clicar na URL especialmente criada.

Esta atualização de segurança é classificada como Importante para todas as edições com suporte do Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 e Microsoft Exchange Server 2013. Para obter mais informações, consulte a seção Softwares afetados.

A atualização de segurança elimina as vulnerabilidades garantindo que o Outlook Web App valide corretamente os tokens de solicitação e garantindo que as URLs sejam limpas corretamente. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre este documento, consulte o artigo 3009712 da Base de Dados de Conhecimento Microsoft.

 

Softwares afetados

As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

Software Impacto máximo na segurança Classificação de gravidade agregada Atualizações substituídas
Software de servidor da Microsoft
Microsoft Exchange Server 2007 Service Pack 3 (2996150) Elevação de privilégio Importante 2903911 no boletim MS13-105
Microsoft Exchange Server 2010 Service Pack 3 (2986475) Elevação de privilégio Importante 2905616 no boletim MS13-105
Microsoft Exchange Server 2013 Service Pack 1 (3011140) Elevação de privilégio Importante Nenhum
Atualização cumulativa 6 do Microsoft Exchange Server 2013 (3011140) Elevação de privilégio Importante Nenhum

 

Perguntas frequentes sobre atualizações

Esta atualização contém alguma alteração de funcionalidade não relacionada à segurança?
Não, as Atualizações de Segurança do Exchange Server 2013 contêm apenas correções para o(s) problema(s) identificado(s) no boletim de segurança.

Os pacotes cumulativos de atualizações para o Exchange Server 2007 e o Exchange Server 2010 podem conter novas correções adicionais. Os clientes que não permaneceram atualizados em sua implantação dos pacotes cumulativos de atualizações podem experimentar novas funcionalidades após a aplicação dessa atualização.

Classificações de gravidade e identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de dezembro.

Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado
Softwares afetados Vulnerabilidade de falsificação de token do Outlook Web App - CVE-2014-6319 Vulnerabilidade de XSS do OWA - CVE-2014-6325 Vulnerabilidade de XSS do OWA - CVE-2014-6326 Vulnerabilidade de redirecionamento de URL do Exchange - CVE-2014-6336 Classificação de gravidade agregada
Software de servidor da Microsoft
Microsoft Exchange Server 2007 Service Pack 3 Importante \ Falsificação Não aplicável Não aplicável Não aplicável Importante 
Microsoft Exchange Server 2010 Service Pack 3 Importante \ Falsificação Não aplicável Não aplicável Não aplicável Importante 
Microsoft Exchange Server 2013 Service Pack 1 Importante \ Falsificação Importante \ Elevação de Privilégio Importante \ Elevação de Privilégio Importante \ Falsificação Importante 
Atualização cumulativa 6 do Microsoft Exchange Server 2013 Importante \ Falsificação Importante\ Elevação de Privilégio Importante \ Elevação de Privilégio Importante \ Falsificação Importante 

 

Informações de vulnerabilidade

Vulnerabilidade de falsificação de token do Outlook Web App - CVE-2014-6319

Existe uma vulnerabilidade de falsificação de token no Exchange Server quando o Microsoft Outlook Web App (OWA) não consegue validar corretamente um token de solicitação. O invasor que explorar com êxito essa vulnerabilidade poderá usá-la para enviar emails que pareçam vir de um usuário diferente do invasor (por exemplo, de uma fonte confiável). Os clientes que acessam seus emails do Exchange Server por meio do Outlook Web App são os que mais correm risco com essa vulnerabilidade. A atualização elimina a vulnerabilidade, garantindo que o Outlook Web App valide corretamente os tokens de solicitação.

A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi publicado originalmente. A atualização elimina a vulnerabilidade, garantindo que o Outlook Web App valide corretamente os tokens de solicitação.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Em um cenário de ataque baseado na Web, um invasor pode hospedar um site usado para tentar explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar essa vulnerabilidade. Em todos os casos, no entanto, um invasor não teria como forçar os usuários a exibir conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a agir, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou mensagem do Instant Messenger que leva os usuários ao site do invasor.

Soluções Alternativas

A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.

Várias vulnerabilidades do OWA XSS

Existem vulnerabilidades de elevação de privilégio quando o Microsoft Exchange Server não valida corretamente a entrada. O invasor que explorar com êxito essas vulnerabilidades poderá executar um script no contexto do usuário atual. Um invasor pode, por exemplo, ler conteúdo que o invasor não está autorizado a ler, usar a identidade da vítima para executar ações no site do Outlook Web App em nome da vítima, como alterar permissões e excluir conteúdo, e injetar conteúdo mal-intencionado no navegador da vítima. Qualquer sistema usado para acessar uma versão afetada do Outlook Web App estaria potencialmente em risco de ataque. A atualização elimina as vulnerabilidades, garantindo que as URLs sejam limpas corretamente.

Para que essas vulnerabilidades sejam exploradas, um usuário deve clicar em uma URL especialmente criada que leva o usuário a um site do Outlook Web App de destino.

Em um cenário de ataque por email, um invasor pode explorar as vulnerabilidades enviando uma mensagem de email contendo a URL especialmente criada para o usuário do site do Outlook Web App de destino e convencendo-o a clicar na URL especialmente criada.

Num cenário de ataque baseado na Web, um intruso teria de alojar um Web site que contivesse um URL especialmente concebido para o efeito para o Web App Web App de destino utilizado para tentar explorar estas vulnerabilidades. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário podem conter conteúdo especialmente criado que pode explorar essas vulnerabilidades. Um invasor não teria como forçar os usuários a visitar um site especialmente criado. Em vez disso, um invasor teria que convencê-los a visitar o site, geralmente fazendo com que eles cliquem em um link em uma mensagem de email ou mensagem do Instant Messenger que os leve ao site do invasor e, em seguida, convencê-los a clicar na URL especialmente criada.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade do OWA XSS CVE-2014-6325 Não Não
Vulnerabilidade do OWA XSS CVE-2014-6326 Não Não

 

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.

Vulnerabilidade de redirecionamento de URL do Exchange - CVE-2014-6336

Existe uma vulnerabilidade de falsificação no Microsoft Exchange quando o Microsoft Outlook Web App (OWA) não valida corretamente os tokens de redirecionamento. O invasor que explorar com êxito essa vulnerabilidade poderá redirecionar um usuário para um domínio arbitrário a partir de um link que pareça ser originário do domínio do usuário. Um invasor pode usar a vulnerabilidade para enviar emails que parecem vir de um usuário diferente do invasor. Os clientes que acessam seus emails do Exchange Server por meio do Outlook Web App são os que mais correm risco com essa vulnerabilidade. A atualização elimina a vulnerabilidade, garantindo que as URLs sejam limpas corretamente.

A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi publicado originalmente. A atualização elimina a vulnerabilidade, garantindo que as URLs sejam limpas corretamente.

Fatores atenuantes

Os seguintes fatores atenuantes podem ser úteis em sua situação:

  • Para gerar o link mal-intencionado, um invasor já deve ser um usuário autenticado do Exchange e ser capaz de enviar mensagens de email.
  • O link mal-intencionado pode ser enviado por e-mail, mas o invasor teria que convencer o usuário a abrir o link para explorar a vulnerabilidade.

Soluções Alternativas

A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (9 de dezembro de 2014): Boletim publicado.
  • V2.0 (10 de dezembro de 2014): Boletim revisado para remover o link do Centro de Download da atualização de segurança da Microsoft 2986475 para o Microsoft Exchange Server 2010 Service Pack 3 para resolver um problema conhecido com a atualização. A Microsoft está trabalhando para resolver o problema e atualizará este boletim quando mais informações estiverem disponíveis. A Microsoft removeu o 2986475 de atualização e recomenda que os clientes desinstalem o 2986475 de atualização se já o tiverem instalado.
  • V3.0 (12 de dezembro de 2014): Boletim relançado para anunciar a nova oferta de 2986475 de atualização de segurança da Microsoft para o Microsoft Exchange Server 2010 Service Pack 3. A atualização relançada resolve um problema conhecido na oferta original. Os clientes que desinstalaram a atualização original devem instalar a versão atualizada do 2986475 o mais rápido possível.

Página gerada em 14/01/2015 11:56Z-08:00.