Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2401593

Sicherheitsanfälligkeit in Outlook Web Access kann Erhöhung von Berechtigungen ermöglichen

Veröffentlicht: Dienstag, 14. September 2010

Version: 1.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft hat die Untersuchungen zu einer öffentlich gemeldeten Sicherheitsanfälligkeit in Outlook Web Access (OWA) abgeschlossen, die Benutzer von Microsoft Exchange betreffen kann. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann eine authentifizierte OWA-Sitzung an sich reißen. Der Angreifer kann dann im Namen des authentifizierten Benutzers und ohne dessen Kenntnis Aktionen innerhalb des Sicherheitskontextes der aktiven OWA-Sitzung durchführen.

Diese Sicherheitsanfälligkeit betrifft unterstützte Editionen von Microsoft Exchange Server 2003 und Microsoft Exchange Server 2007 (mit Ausnahme von Microsoft Exchange Server 2007 Service Pack 3). Microsoft Exchange Server 2000, Microsoft Exchange Server 2007 Service Pack 3 und Microsoft Exchange Server 2010 sind nicht von der Sicherheitsanfälligkeit betroffen. Weitere Informationen finden Sie in dem Abschnitt Betroffene und nicht betroffene Software.

Microsoft empfiehlt Benutzern, die betroffene Editionen von Microsoft Exchange Server ausführen, auf eine nicht betroffene Version von Microsoft Exchange Server zu aktualisieren, um die Sicherheitsanfälligkeit zu beheben. Benutzer, die derzeit nicht aktualisieren können, finden im Abschnitt Problemumgehungen Optionen, mit denen eingeschränkt werden kann, wie ein Angreifer die Sicherheitsanfälligkeit ausnutzt.

Zu diesem Zeitpunkt sind uns keine Angriffe bekannt, mit denen versucht wird, diese Sicherheitsanfälligkeit auszunutzen. Wir werden die Bedrohungslage weiter überwachen und diese Empfehlung aktualisieren, wenn sich die Situation ändert.

Details der Empfehlung

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

ReferenzenIdentifizierung
CVE-Referenz CVE-2010-3213

Betroffene und nicht betroffene Software

Diese Empfehlung betrifft die folgende Software.

Betroffene Software
Microsoft Exchange Server 2003 Service Pack 2
Microsoft Exchange Server 2007 Service Pack 1
Microsoft Exchange Server 2007 Service Pack 2
Nicht betroffene Software
Microsoft Exchange Server 2000 Service Pack 3
Microsoft Exchange Server 2007 Service Pack 3
Microsoft Exchange Server 2010
Microsoft Exchange Server 2010 Service Pack 1

Was genau umfasst diese Empfehlung?  
Microsoft wurde eine neue Sicherheitsanfälligkeit gemeldet, die Outlook Web Access (OWA) für Microsoft Exchange Server betrifft. Dies betrifft die Software, die im Abschnitt Betroffene Software aufgeführt ist.

Was ist Exchange Outlook Web Access (OWA)?  
Outlook Web Access (OWA) ist ein WebMail-Dienst von Microsoft Exchange Server 5.0 und höher. Die Weboberfläche von Outlook Web Access ähnelt der Schnittstelle in Microsoft Outlook. Outlook Web Access ist Bestandteil von Microsoft Exchange Server.

Wodurch wird diese Bedrohung verursacht?  
Unter bestimmten Umständen kann eine authentifizierte OWA-Sitzung von einem Angreifer gekapert werden, um im Namen des Benutzers ohne dessen Kenntnis Aktionen durchzuführen.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?  
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann im Namen des authentifizierten Benutzers im Sicherheitskontext der aktiven OWA-Sitzung Aktionen durchführen wie das Lesen von E-Mail-Nachrichten, Hinzufügen neuer Posteingangsregeln oder Ändern der OWA-Benutzereinstellungen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?  
Ein Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er einen Zielbenutzer während einer aktiven OWA-Sitzung dazu verleitet, eine schädliche Webseite zu besuchen, die der Angreifer speziell für die Ziel-Exchange-Domäne erstellt hat.

Weshalb gibt es kein Sicherheitsupdate, um diese Sicherheitsanfälligkeit zu beheben?  
Es gibt kein Sicherheitsupdate, weil das Beheben der Sicherheitsanfälligkeit eine Entwurfsänderung erfordern würde, um ein neues Framework zur Überprüfung von HTTP-Anforderungen für OWA zu implementieren. Dieses würde verhindern, dass ein Angreifer die OWA-Sitzung eines Benutzers an sich reißt. Microsoft hat ermittelt, dass die Einführung einer Entwurfsänderung in dieser Größenordnung in betroffene Versionen von Microsoft Exchange Server ein zu hohes Risiko in sich birgt, Benutzerumgebungen zu destabilisieren und zu unterbrechen.

Was kann ich tun, wenn ich Versionen des Produkts verwende, für die kein Update verfügbar ist?  
Administratoren, die betroffene Editionen von Microsoft Exchange Server ausführen, sollten auf eine nicht betroffene Version von Microsoft Exchange Server aktualisieren. Microsoft Exchange Server 2007 Service Pack 3 und Microsoft Exchange Server 2010 sind nicht von der Sicherheitsanfälligkeit betroffen.

Administratoren, die derzeit nicht aktualisieren können, finden im Abschnitt Problemumgehungen Optionen, mit denen eingeschränkt werden kann, wie ein Angreifer die Sicherheitsanfälligkeit ausnutzt.

Ich verwende eine ältere Version der in dieser Sicherheitsempfehlung beschriebenen Software. Was soll ich tun?  
Die in dieser Sicherheitsempfehlung aufgeführte betroffene Software wurde daraufhin getestet, welche einzelnen Versionen betroffen sind. Andere Versionen haben das Ende ihrer Supportlebenszyklen erreicht. Weitere Informationen zu den Produktzyklen finden Sie auf der Website Microsoft Support Lifecycle.

Benutzer älterer Versionen dieser Software sollten möglichst bald zu Versionen migrieren, für die Support angeboten wird, um sich vor künftigen Sicherheitsanfälligkeiten zu schützen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion finden Sie unter Produkt für Lebenszyklusinformationen auswählen. Weitere Informationen zu Service Packs für diese Softwareversionen finden Sie unter Lifecycle Supported Service Packs.

Benutzer, die zusätzlichen Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kundenbetreuer, ihren Technical Account Manager oder den jeweiligen Microsoft-Partner wenden, um Supportangebote in Anspruch nehmen zu können. Kunden, die nicht über einen Alliance-, Premier- oder Authorized-Vertrag verfügen, können sich mit der regionalen Microsoft-Vertriebsniederlassung in Verbindung setzen. Kontaktinformationen finden Sie auf der Website Microsoft Worldwide. Wählen Sie in der Liste „Kontaktinformationen“ Ihr Land aus, und klicken Sie auf Go. Es wird eine Telefonnummer für Ihr Land angezeigt. Wenn Sie unter der angegebenen Nummer anrufen, fragen Sie bitte nach dem regionalen Vertriebsmanager für Premier Support. Weitere Informationen finden Sie auf der Seite Microsoft Support Lifecycle-Richtlinie – Häufig gestellte Fragen (FAQ).

Schadensbegrenzende Faktoren

Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

  • In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Webseite einrichten, die diese Sicherheitsanfälligkeit ausnutzt. Außerdem können manipulierte Websites und Websites, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden könnte. Ein Angreifer kann Endbenutzer jedoch nicht zum Besuch solcher Websites zwingen. Der Angreifer müsste stattdessen den Benutzer zum Besuch dieser Webseite verleiten, z. B. indem er den Benutzer dazu auffordert, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.

Problemumgehungen

Die folgenden Problemumgehungen beziehen sich auf eine Einstellungs- bzw. Konfigurationsänderung, die das zugrunde liegende Problem zwar nicht korrigieren, aber einschränken, wozu ein Angreifer die Sicherheitsanfälligkeit verwenden kann.

Hinweis: Diese Problemumgehungen blockieren keine bekannten Angriffsmethoden, sondern tragen zur Einschränkung dessen bei, wie ein Angreifer die Sicherheitsanfälligkeit ausnutzen kann, indem die Funktionen selektiv deaktiviert werden.

  • Deaktivieren von Regeln mithilfe von Segmentierung

    Segmentierung kann pro Server durchgeführt werden, um die Funktionalität von Outlook Web Access zu ändern. Um Angreifer daran zu hindern, bestimmte Funktionen in Outlook Web Access auszunutzen, können Administratoren Segmentierung implementieren, um Funktionen selektiv zu deaktivieren.

    Weitere Informationen zum Deaktivieren von Regeln mithilfe der Segmentierung in Microsoft Exchange Server 2007 finden Sie im TechNet-Artikel Verwalten der Segmentierung in Outlook Web Access.

    Weitere Informationen zum Deaktivieren von Regeln mithilfe der Segmentierung in Microsoft Exchange Server 2003 finden Sie im Microsoft Knowledge Base-Artikel 833340.

    Auswirkung der Problemumgehung: Durch das Deaktivieren von Regeln wird ein Angreifer daran gehindert, die Benutzerregeln durch OWA zu verändern, wodurch wiederum eine Daten-Exfiltration verhindert wird. Ein Angreifer kann jedoch immer noch die anderen Optionen eines Benutzers ändern. Nachdem diese Problemumgehung implementiert wurde, können Benutzer mit OWA keine Regeln mehr erstellen oder aktualisieren. Vorhandene Regeln funktionieren weiterhin. Die Auswirkung dieser Problemumgehung betrifft nur Funktionen in Outlook Web Access, nicht in einem Outlook-Client.

  • Deaktivieren des Fensterbereichs „Optionen“ mithilfe von UrlScan

    Durch das Implementieren dieser Problemumgehung wird ein Angreifer daran gehindert, beliebige Exchange-Optionen durch OWA anzuzeigen oder zu ändern. Dadurch werden die bekanntesten Angriffe gegen die Sicherheitsanfälligkeit verhindert, die in dieser Empfehlung beschrieben sind.

    Weitere Informationen zum Deaktivieren des Fensterbereichs „Optionen“ mithilfe von UrlScan finden Sie im Microsoft Knowledge Base-Artikel 2299129.

    Auswirkung der Problemumgehung: Benutzer können Exchange-Optionen nicht mehr durch OWA ändern. Durch das Deaktivieren von Optionen werden auch Regeln deaktiviert, wie oben beschrieben. Die Auswirkung dieser Problemumgehung betrifft nur Funktionen in Outlook Web Access, nicht in einem Outlook-Client.

Zusätzlich empfohlene Handlungen

  • Aktualisieren auf eine nicht betroffene Version von Microsoft Exchange Server

    Microsoft empfiehlt Benutzern, die betroffene Editionen von Microsoft Exchange Server ausführen, auf eine nicht betroffene Version von Microsoft Exchange Server zu aktualisieren, um die Sicherheitsanfälligkeit zu beheben. Microsoft Exchange Server 2007 Service Pack 3 und Microsoft Exchange Server 2010 sind nicht von der Sicherheitsanfälligkeit betroffen.

  • Aktualisieren Sie Windows regelmäßig

    Alle Windows-Benutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Windows Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie Automatische Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.

Weitere Informationen:

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

  • Technischer Support ist über den Security Support erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
  • Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der Website Internationale Hilfe und Support.
  • Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (14. September 2010): Die Empfehlung wurde veröffentlicht.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft