Microsoft Security Bulletin MS15-064 – Wichtig
Sicherheitsrisiken in Microsoft Exchange Server könnten rechteerweiterungen zulassen (3062157)
Veröffentlicht: 9. Juni 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Exchange Server. Die schwerwiegendsten Sicherheitsrisiken könnten rechteerweiterungen zulassen, wenn ein authentifizierter Benutzer auf einen Link zu einer speziell gestalteten Webseite klickt. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, die Website zu besuchen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, auf einen Link zu klicken, in der Regel durch eine Verlockung in einer E-Mail- oder Instant Messenger-Nachricht.
Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Microsoft Exchange Server 2013 als wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten durch:
- Ändern der Verwaltung der Richtlinie für Exchange-Webanwendungen mit demselben Ursprung
- Ändern der Verwaltung der Benutzersitzungsauthentifizierung durch Exchange-Webanwendungen
- Korrigieren der Bereinigung von HTML-Zeichenfolgen in Exchange-Webanwendungen
Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Weitere Informationen zu diesem Dokument finden Sie im Microsoft Knowledge Base-Artikel 3062157.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
| Software | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|
| Microsoft Server-Software | |||
| Microsoft Exchange Server 2013 Service Pack 1 (3062157) | Angriffe durch Rechteerweiterung | Wichtig | Keine |
| Kumulatives Microsoft Exchange Server 2013-Update 8 (3062157) | Angriffe durch Rechteerweiterung | Wichtig | Keine |
Häufig gestellte Fragen zum Aktualisieren
Enthält dieses Update alle nicht sicherheitsrelevanten Änderungen der Funktionalität?
Nein, Exchange Server 2013-Sicherheitsupdates enthalten nur Korrekturen für die im Sicherheitsbulletin identifizierten Probleme.
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung vom Juni.
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | ||||
|---|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in exchange serverseitiger Anforderungsverfälschung – CVE-2015-1764 | Sicherheitsanfälligkeit in exchange cross-Site Request Forgery – CVE-2015-1771 | Sicherheitsanfälligkeit in Exchange-HTML-Einfügung – CVE-2015-2359 | Bewertung des aggregierten Schweregrads |
| Microsoft Server-Software | ||||
| Microsoft Exchange Server 2013 Service Pack 1 (3062157) | WichtigeOffenlegung von Informationen | WichtigeRechteerweiterung | Nicht zutreffend | Wichtig |
| Kumulatives Update 8 für Microsoft Exchange Server 2013 (3062157) | WichtigeOffenlegung von Informationen | WichtigeRechteerweiterung | WichtigeOffenlegung von Informationen | Wichtig |
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in exchange serverseitiger Anforderungsverfälschung – CVE-2015-1764
Eine Sicherheitslücke zur Offenlegung von Informationen ist in Microsoft Exchange-Webanwendungen vorhanden, wenn Exchange die Richtlinie für denselben Ursprung nicht ordnungsgemäß verwaltet. Ein Angreifer könnte diese serverseitige Anforderungs forgery (SSRF) -Sicherheitsanfälligkeit mithilfe einer speziell gestalteten Webanwendungsanforderung ausnutzen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte dann:
- Scannen und Angriffssysteme hinter einer Firewall, auf die normalerweise von außen nicht zugegriffen werden kann
- Aufzählen und Angriffsdienste, die auf diesen Hostsystemen ausgeführt werden
- Exploit hostbasierter Authentifizierungsdienste
Exchange-Webanwendungen sind in erster Linie durch diese Sicherheitsanfälligkeit gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Exchange-Webanwendungen die Richtlinie für denselben Ursprung verwalten.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Sicherheitsanfälligkeit in exchange cross-Site Request Forgery – CVE-2015-1771
In Microsoft Exchange-Webanwendungen ist eine Sicherheitslücke zur Erhöhung von Berechtigungen vorhanden, wenn Exchange Benutzersitzungen nicht ordnungsgemäß verwaltet. Damit diese cross-site Request Forgery(CSRF/XSRF) -Sicherheitsanfälligkeit ausgenutzt werden kann, muss das Opfer bei der Zielwebsite authentifiziert (angemeldet) werden.
In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die vom Benutzer bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Webseite enthält, die darauf ausgelegt ist, die Sicherheitsanfälligkeit auszunutzen. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, die Website zu besuchen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, auf einen Link zu klicken, in der Regel durch eine Verlockung in einer E-Mail- oder Instant Messenger-Nachricht. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte Inhalte lesen, die der Angreifer nicht lesen darf, die Identität des Opfers verwenden, um Aktionen in der Webanwendung im Namen des Opfers auszuführen, z. B. Berechtigungen ändern und Inhalte löschen und schädliche Inhalte in den Browser des Opfers einfügen.
Exchange-Webanwendungen sind in erster Linie durch diese Sicherheitsanfälligkeit gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Exchange-Webanwendungen die Benutzersitzungsauthentifizierung verwalten.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Sicherheitsanfälligkeit in Exchange-HTML-Einfügung – CVE-2015-2359
Eine Sicherheitslücke zur Offenlegung von Informationen ist in Microsoft Exchange-Webanwendungen vorhanden, wenn Exchange HTML-Zeichenfolgen nicht ordnungsgemäß sanitiert. Um diese Sicherheitsanfälligkeit bei der HTML-Einfügung auszunutzen, muss ein Angreifer die Möglichkeit haben, ein speziell gestaltetes Skript an eine Zielwebsite zu übermitteln, die HTML-Bereinigung verwendet. Wenn die Sicherheitsanfälligkeit besteht, wird das speziell gestaltete Skript in bestimmten Situationen nicht ordnungsgemäß sanitiert. Das vom Angreifer bereitgestellte Skript kann dann im Sicherheitskontext eines Benutzers ausgeführt werden, der die schädlichen Inhalte anzeigt.
Für HTML-Einfügungsangriffe erfordert diese Sicherheitsanfälligkeit, dass ein Benutzer eine kompromittierte Website besuchen muss, damit schädliche Aktionen auftreten. Nachdem ein Angreifer beispielsweise erfolgreich ein speziell gestaltetes Skript an eine Zielwebsite übermittelt hat, die HTML-Bereinigung verwendet, ist jede Webseite auf dieser Website, die das speziell gestaltete Skript enthält, ein potenzieller Vektor für dauerhafte websiteübergreifende Skriptingangriffe. Wenn ein Benutzer eine Webseite besucht, die das speziell gestaltete Skript enthält, kann das Skript im Sicherheitskontext des Benutzers ausgeführt werden.
Systeme, bei denen Benutzer eine Verbindung mit einer Website herstellen, die HTML-Zeichenfolgen wie Arbeitsstationen oder Terminalserver sanitiert, sind in erster Linie gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Exchange-Webanwendungen HTML-Zeichenfolgen sanitieren.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (9. Juni 2015): Bulletin veröffentlicht.
Seite generiert 2015-06-03 12:16Z-07:00.