• Článek

Poradce pro zabezpečení

Poradce microsoftu pro zabezpečení 2401593

Ohrožení zabezpečení v Outlook Web Accessu by mohlo umožnit zvýšení oprávnění

Publikováno: 14. září 2010

Verze: 1.0

Obecné informace

Shrnutí

Společnost Microsoft dokončila šetření veřejně zveřejněné chyby zabezpečení v aplikaci Outlook Web Access (OWA), která může ovlivnit zákazníky microsoft Exchange. Útočník, který tuto chybu zabezpečení úspěšně zneužil, by mohl zneužít ověřenou relaci OWA. Útočník pak může provádět akce jménem ověřeného uživatele bez znalostí uživatele v kontextu zabezpečení aktivní relace OWA.

Toto ohrožení zabezpečení má vliv na podporované edice systému Microsoft Exchange Server 2003 a Microsoft Exchange Server 2007 (s výjimkou microsoft Exchange Serveru 2007 Service Pack 3). Ohrožení zabezpečení neovlivní Microsoft Exchange Server 2000, Microsoft Exchange Server 2007 Service Pack 3 a Microsoft Exchange Server 2010. Další informace najdete v části Ovlivněný a Neovlivněný software.

Společnost Microsoft doporučuje, aby zákazníci, kteří používají ovlivněné edice systému Microsoft Exchange Server, upgradovali na neovlivněnou verzi serveru Microsoft Exchange Server, aby vyřešili ohrožení zabezpečení. Zákazníci, kteří v tuto chvíli nemůžou upgradovat, můžou využít část Alternativní řešení , kde najdete možnosti, které můžou pomoct omezit, jak může útočník toto ohrožení zabezpečení zneužít.

V tuto chvíli nevíme o žádném útoku, který se pokouší tuto chybu zabezpečení zneužít. Pokud se situace změní, budeme pokračovat v monitorování prostředí hrozeb a aktualizovat tento poradce.

Podrobnosti o poradci

Odkazy na problém

Další informace o tomto problému najdete v následujících odkazech:

Reference Identifikace
CVE – referenční dokumentace CVE-2010-3213

Ovlivněný a neovlivněný software

Tento poradce popisuje následující software.
Ovlivněný software
Microsoft Exchange Server 2003 Service Pack 2
Microsoft Exchange Server 2007 Service Pack 1
Microsoft Exchange Server 2007 Service Pack 2
Software, který není ovlivněný
Microsoft Exchange Server 2000 Service Pack 3
Microsoft Exchange Server 2007 Service Pack 3
Microsoft Exchange Server 2010
Microsoft Exchange Server 2010 Service Pack 1

Nejčastější dotazy

Jaký je rozsah poradenství?
Společnost Microsoft si je vědoma nové sestavy ohrožení zabezpečení, která ovlivňuje Aplikaci Outlook Web Access (OWA) pro Microsoft Exchange Server. To má vliv na software uvedený v části Ovlivněný software .

Co je Exchange Outlook Web Access (OWA)?
Outlook Web Access (OWA) je služba webové pošty serveru Microsoft Exchange Server 5.0 a novější. Webové rozhraní aplikace Outlook Web Access se podobá rozhraní v aplikaci Microsoft Outlook. Outlook Web Access je součástí serveru Microsoft Exchange Server.

Co způsobuje tuto hrozbu?
Za určitých okolností může ověřená relace OWA útočníka zneužovat, aby provedl akce jménem uživatele bez vědomí uživatele.

Co může útočník použít k tomuto ohrožení zabezpečení?
Útočník, který tuto chybu zabezpečení úspěšně zneužil, může provádět akce jménem ověřeného uživatele v kontextu zabezpečení aktivní relace OWA, jako je čtení e-mailových zpráv, přidání nových pravidel doručené pošty nebo změna uživatelských předvoleb OWA.

Jak by mohl útočník zneužít tuto chybu zabezpečení?
Útočník by mohl tuto chybu zabezpečení zneužít přesvědčivým cílovým uživatelem k návštěvě škodlivé webové stránky, kterou útočník vytvořil speciálně pro cílovou doménu Exchange během aktivní relace OWA.

Proč neexistuje žádná aktualizace zabezpečení, která by tuto chybu zabezpečení vyřešila?
Aktualizace zabezpečení není k dispozici, protože řešení chyby zabezpečení by vyžadovalo změnu návrhu, která by implementovala novou architekturu ověřování požadavků HTTP pro OWA, aby zabránila útočníkovi v napadení relace OWA uživatele. Společnost Microsoft zjistila, že zavedení změny návrhu takového rozsahu do ovlivněných verzí serveru Microsoft Exchange Server by mělo příliš vysoké riziko nestability a narušení zákaznických prostředí.

Co mám dělat, když používám verze produktu, pro které není aktualizace k dispozici?
Správa istrátory s ovlivněnými edicemi systému Microsoft Exchange Server by měly upgradovat na verzi systému Microsoft Exchange Server, která není ovlivněna. Ohrožení zabezpečení nemá vliv na Microsoft Exchange Server 2007 Service Pack 3 a Microsoft Exchange Server 2010 .

Správa istrátory, kteří v tuto chvíli nemůžou upgradovat, můžou odkazovat na Alternativní řešení pro možnosti, které můžou pomoct omezit způsob zneužití ohrožení zabezpečení útočníkem.

Používám starší verzi softwaru probíraného v tomto poradci zabezpečení. Co mám dělat?
Ovlivněný software uvedený v tomto poradci byl testován, aby zjistil, které verze jsou ovlivněny. Další verze jsou po životním cyklu podpory. Další informace o životním cyklu produktu najdete na webu podpora Microsoftu Lifecycle.

Měla by být prioritou pro zákazníky, kteří mají starší verze softwaru, aby migrovali na podporované verze, aby se zabránilo potenciálnímu ohrožení zabezpečení. Pokud chcete určit životní cyklus podpory pro vaši verzi softwaru, přečtěte si téma Výběr produktu pro informace o životním cyklu. Další informace oaktualizacích

Zákazníci, kteří vyžadují vlastní podporu pro starší software, musí kontaktovat zástupce svého účtu Microsoft, správce technického účtu nebo příslušného zástupce partnera Microsoftu a požádat o vlastní možnosti podpory. Zákazníci bez smlouvy Alliance, Premier nebo Autorizované smlouvy můžou kontaktovat místní prodejní kancelář Microsoftu. Kontaktní informace získáte tak, že navštívíte web Microsoft Worldwide Information , vyberete zemi v seznamu kontaktních informací a kliknutím na tlačítko Přejít zobrazíte seznam telefonních čísel. Když zavoláte, požádejte o hovor s místním manažerem prodeje Premier Support. Další informace najdete v nejčastějších dotazech k zásadám životního cyklu podpora Microsoftu.

Zmírnění faktorů a navrhovaných akcí

Faktory pro zmírnění rizika

Zmírnění rizik označuje nastavení, běžnou konfiguraci nebo obecný osvědčený postup existující ve výchozím stavu, které by mohly snížit závažnost zneužití chyby zabezpečení. Ve vaší situaci můžou být užitečné následující faktory pro zmírnění rizika:

  • Ve scénáři útoku založeném na webu by útočník mohl hostovat web, který obsahuje webovou stránku, která se používá k zneužití této chyby zabezpečení. Kromě toho by ohrožené weby a weby, které přijímají nebo hostují obsah nebo reklamy poskytované uživatelem, mohly obsahovat speciálně vytvořený obsah, který by mohl tuto chybu zabezpečení zneužít. Ve všech případech by však útočník neměl žádný způsob, jak vynutit, aby uživatelé tyto weby navštívili. Místo toho by útočník musel uživatele přesvědčit k návštěvě webu, obvykle tak, že jim umožní kliknout na odkaz v e-mailové zprávě nebo rychlém messengeru, který uživatele přenese na web útočníka.

Alternativní řešení

Následující alternativní řešení odkazují na změnu nastavení nebo konfigurace, která neopraví základní problém, ale pomůže omezit, co může útočník použít k ohrožení zabezpečení.

Poznámka: Tato alternativní řešení neblokují známé vektory útoku, ale pomáhají omezit, jak může útočník zneužít ohrožení zabezpečení selektivním zakázáním funkcí.

  • Zakázání pravidel pomocí segmentace

    Segmentace se dá provádět na jednotlivých serverech, aby se změnila funkčnost Outlook Web Accessu. Aby útočníci mohli zneužít určité funkce v Outlook Web Accessu, Správa istrátory se mohou rozhodnout implementovat segmentaci a zakázat funkce selektivně.

    Informace o zakázání pravidel pomocí segmentace v systému Microsoft Exchange Server 2007 naleznete v článku TechNet, Jak spravovat segmentaci v aplikaci Outlook Web Access.

    Informace o zakázání pravidel pomocí segmentace v systému Microsoft Exchange Server 2003 naleznete v článku znalostní báze Microsoft Knowledge Base 833340.

    Dopad alternativního řešení Zakázání pravidel zabrání útočníkovi v úpravě pravidel uživatele prostřednictvím OWA, což zabrání exfiltraci dat. Útočník ale může i nadále upravovat jiné možnosti uživatele. Po implementaci tohoto alternativního řešení už uživatelé nebudou moct vytvářet nebo aktualizovat pravidla pomocí OWA. Stávající pravidla budou nadále fungovat. Dopad tohoto alternativního řešení má vliv jenom na funkce v Outlook Web Accessu, ne v klientovi Outlooku.

  • Zakázání panelu Možnosti pomocí nástroje UrlScan

    Implementace tohoto alternativního řešení zabrání útočníkovi v zobrazení nebo úpravě jakýchkoli možností Exchange prostřednictvím OWA, což zabrání většině známých útoků na ohrožení zabezpečení popsané v tomto poradci.

    Informace o zakázání panelu Možnosti pomocí nástroje UrlScan naleznete v článku znalostní báze Microsoft Knowledge Base 2299129.

    Dopad alternativního řešení Uživatelé už nebudou moct upravovat možnosti Exchange pomocí OWA. Zakázání možností také zakáže pravidla, jak je popsáno výše. Dopad tohoto alternativního řešení má vliv jenom na funkce v Outlook Web Accessu, ne v klientovi Outlooku.

Další navrhované akce

  • Upgrade na neovlivněnou verzi serveru Microsoft Exchange Server

    Společnost Microsoft doporučuje, aby zákazníci, kteří používají ovlivněné edice systému Microsoft Exchange Server, upgradovali na neovlivněnou verzi serveru Microsoft Exchange Server, aby vyřešili ohrožení zabezpečení. Ohrožení zabezpečení nemá vliv na Microsoft Exchange Server 2007 Service Pack 3 a Microsoft Exchange Server 2010 .

  • Zachovat služba Windows Update d

    Všichni uživatelé Systému Windows by měli použít nejnovější aktualizace zabezpečení společnosti Microsoft, aby zajistili, že jsou jejich počítače co nejvíce chráněné. Pokud si nejste jistí, jestli je váš software aktuální, navštivte služba Windows Update, vyhledejte v počítači dostupné aktualizace a nainstalujte všechny nabízené aktualizace s vysokou prioritou. Pokud máte povolenou automatickou Aktualizace, aktualizace se vám po vydání doručí, ale musíte je nainstalovat.

Další informace

Program Microsoft Active Protections (MAPP)

Microsoft poskytuje informace o ohrožení zabezpečení pro zákazníky, aby před každým měsíčním vydáním aktualizace zabezpečení poskytovala informace o ohrožení zabezpečení významným poskytovatelům softwaru zabezpečení. Poskytovatelé softwaru zabezpečení pak můžou tyto informace o ohrožení zabezpečení použít k poskytování aktualizovaných ochrany zákazníkům prostřednictvím bezpečnostního softwaru nebo zařízení, jako jsou antivirová ochrana, systémy detekce neoprávněných vniknutí na základě sítě nebo systémy ochrany před neoprávněným vniknutím na základě hostitele. Pokud chcete zjistit, jestli jsou aktivní ochrany dostupné od poskytovatelů softwaru zabezpečení, navštivte weby aktivní ochrany poskytované partnery programu, které jsou uvedeny v programu Microsoft Active Protections Program (MAPP) Partnerů.

Váš názor

  • Zpětnou vazbu můžete poskytnout vyplněním formuláře nápovědy a podpory Microsoftu, kontaktujte nás oddělení služeb zákazníkům.

Technická podpora

  • Zákazníci v USA a Kanadě můžou získat technickou podporu od podpory zabezpečení. Další informace o dostupných možnostech podpory najdete v nápovědě a podpoře společnosti Microsoft.
  • Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace o tom, jak kontaktovat Microsoft o problémech s mezinárodní podporou, najdete v tématu Mezinárodní podpora.
  • Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Microsoftu.

Právní doložka

Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.

Revize

  • V1.0 (14. září 2010): Poradce publikováno.

Postaveno v 2014-04-18T13:49:36Z-07:00