Microsoft Security Bulletin MS14-075 – Wichtig
Sicherheitsrisiken in Microsoft Exchange Server könnten rechteerweiterungen zulassen (3009712)
Veröffentlicht: 9. Dezember 2014 | Aktualisiert: 12. Dezember 2014
Version: 3.0
Kurzfassung
Dieses Sicherheitsupdate behebt vier privat gemeldete Sicherheitsrisiken in Microsoft Exchange Server. Die schwerwiegendsten dieser Sicherheitsanfälligkeiten können rechteerweiterungen zulassen, wenn ein Benutzer auf eine speziell gestaltete URL klickt, die sie zu einer bestimmten Outlook Web App-Website führt. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, eine speziell gestaltete Website zu besuchen. Stattdessen müsste ein Angreifer sie davon überzeugen, die Website zu besuchen, in der Regel durch Klicken auf einen Link in einer E-Mail- oder Instant Messenger-Nachricht, die sie zur Website des Angreifers führt, und dann davon überzeugen, auf die speziell gestaltete URL zu klicken.
Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 und Microsoft Exchange Server 2013 wichtig. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem sichergestellt wird, dass Outlook Web App Anforderungstoken ordnungsgemäß überprüft und sicherstellt, dass URLs ordnungsgemäß sanitiert werden. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Weitere Informationen zu diesem Dokument finden Sie im Microsoft Knowledge Base-Artikel 3009712.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
| Software | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|
| Microsoft Server-Software | |||
| Microsoft Exchange Server 2007 Service Pack 3 (2996150) | Angriffe durch Rechteerweiterung | Wichtig | 2903911 in MS13-105 |
| Microsoft Exchange Server 2010 Service Pack 3 (2986475) | Angriffe durch Rechteerweiterung | Wichtig | 2905616 in MS13-105 |
| Microsoft Exchange Server 2013 Service Pack 1 (3011140) | Angriffe durch Rechteerweiterung | Wichtig | Keine |
| Kumulatives Update 6 für Microsoft Exchange Server 2013 (3011140) | Angriffe durch Rechteerweiterung | Wichtig | Keine |
Häufig gestellte Fragen zum Aktualisieren
Enthält dieses Update alle nicht sicherheitsrelevanten Änderungen der Funktionalität?
Nein, Exchange Server 2013-Sicherheitsupdates enthalten nur Korrekturen für die im Sicherheitsbulletin identifizierten Probleme.
Updaterollups für Exchange Server 2007 und Exchange Server 2010 können zusätzliche neue Fixes enthalten. Kunden, die in ihrer Bereitstellung der kumulativen Updaterollups nicht erneut aktualisiert wurden Standard können nach der Anwendung dieses Updates neue Funktionen aufweisen.
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im Dezember.
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | |||||
|---|---|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in Outlook Web App-Token– CVE-2014-6319 | Sicherheitsanfälligkeit in OWA XSS – CVE-2014-6325 | Sicherheitsanfälligkeit in OWA XSS – CVE-2014-6326 | Sicherheitsanfälligkeit in Exchange-URL-Umleitung – CVE-2014-6336 | Bewertung des aggregierten Schweregrads |
| Microsoft Server-Software | |||||
| Microsoft Exchange Server 2007 Service Pack 3 | Wichtig \ Spoofing | Nicht zutreffend | Nicht verfügbar | Nicht zutreffend | Wichtig |
| Microsoft Exchange Server 2010 Service Pack 3 | Wichtig \ Spoofing | Nicht zutreffend | Nicht verfügbar | Nicht zutreffend | Wichtig |
| Microsoft Exchange Server 2013 Service Pack 1 | Wichtig \ Spoofing | Wichtig \ Rechteerweiterung | Wichtig \ Rechteerweiterung | Wichtig \ Spoofing | Wichtig |
| Kumulatives Update 6 für Microsoft Exchange Server 2013 | Wichtig \ Spoofing | Wichtig\ Rechteerweiterung | Wichtig \ Rechteerweiterung | Wichtig \ Spoofing | Wichtig |
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in Outlook Web App-Token– CVE-2014-6319
Eine Sicherheitslücke für Tokenspoofing ist in Exchange Server vorhanden, wenn Microsoft Outlook Web App (OWA) ein Anforderungstoken nicht ordnungsgemäß überprüft. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte dann die Sicherheitsanfälligkeit verwenden, um E-Mails zu senden, die von einem anderen Benutzer als dem Angreifer stammen (z. B. von einer vertrauenswürdigen Quelle). Kunden, die über Outlook Web App auf ihre Exchange Server-E-Mails zugreifen, sind in erster Linie durch diese Sicherheitsanfälligkeit gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass Outlook Web App Anforderungstoken ordnungsgemäß überprüft.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde. Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass Outlook Web App Anforderungstoken ordnungsgemäß überprüft.
Mildernde Faktoren
Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:
- In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten, die verwendet wird, um diese Sicherheitsanfälligkeit auszunutzen. Darüber hinaus könnten kompromittierte Websites und Websites, die vom Benutzer bereitgestellte Inhalte oder Werbung akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer zu zwingen, kontrollierte Inhalte von Angreifern anzuzeigen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, maßnahmen zu ergreifen, in der Regel durch Klicken auf einen Link in einer E-Mail- oder Instant Messenger-Nachricht, die Benutzer zur Website des Angreifers führt.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Mehrere OWA XSS-Sicherheitsrisiken
Rechteerweiterungsrisiken sind vorhanden, wenn die Eingabe von Microsoft Exchange Server nicht ordnungsgemäß überprüft wird. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausgenutzt hat, kann skript im Kontext des aktuellen Benutzers ausführen. Ein Angreifer könnte z. B. Inhalte lesen, die der Angreifer nicht lesen darf, die Identität des Opfers verwenden, um Aktionen auf der Outlook Web App-Website im Namen des Opfers zu ergreifen, z. B. Berechtigungen ändern und Inhalte löschen und schädliche Inhalte in den Browser des Opfers einfügen. Jedes System, das für den Zugriff auf eine betroffene Version von Outlook Web App verwendet wird, ist potenziell gefährdet. Das Update behebt die Sicherheitsanfälligkeiten, indem sichergestellt wird, dass URLs ordnungsgemäß sanitiert werden.
Damit diese Sicherheitsrisiken ausgenutzt werden können, muss ein Benutzer auf eine speziell gestaltete URL klicken, die den Benutzer zu einer bestimmten Outlook Web App-Website führt.
In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsrisiken ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer der gezielten Outlook Web App-Website sendet und den Benutzer überzeugen konnte, auf die speziell gestaltete URL zu klicken.
In einem webbasierten Angriffsszenario müsste ein Angreifer eine Website hosten, die eine speziell gestaltete URL zu der zielorientierten Outlook Web App-Website enthält, die verwendet wird, um diese Sicherheitsrisiken auszunutzen. Darüber hinaus könnten kompromittierte Websites und Websites, die vom Benutzer bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsrisiken ausnutzen könnten. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, eine speziell gestaltete Website zu besuchen. Stattdessen müsste ein Angreifer sie davon überzeugen, die Website zu besuchen, in der Regel durch Klicken auf einen Link in einer E-Mail- oder Instant Messenger-Nachricht, die sie zur Website des Angreifers führt, und dann davon überzeugen, auf die speziell gestaltete URL zu klicken.
Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:
| Titel der Sicherheitsanfälligkeit | CVE-Nummer | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| Sicherheitsanfälligkeit in OWA XSS | CVE-2014-6325 | No | No |
| Sicherheitsanfälligkeit in OWA XSS | CVE-2014-6326 | No | No |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsrisiken identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsrisiken identifiziert.
Sicherheitsanfälligkeit in Exchange-URL-Umleitung – CVE-2014-6336
In Microsoft Exchange ist eine Spoofing-Sicherheitsanfälligkeit vorhanden, wenn Microsoft Outlook Web App (OWA) die Umleitungstoken nicht ordnungsgemäß überprüft. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte einen Benutzer zu einer beliebigen Vorgehensweise umleiten Standard von einem Link, der anscheinend von der Benutzer-Do stammt Standard. Ein Angreifer könnte die Sicherheitsanfälligkeit verwenden, um E-Mails zu senden, die scheinbar von einem anderen Benutzer als dem Angreifer stammen. Kunden, die über Outlook Web App auf ihre Exchange Server-E-Mails zugreifen, sind in erster Linie durch diese Sicherheitsanfälligkeit gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass URLs ordnungsgemäß sanitiert werden.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde. Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass URLs ordnungsgemäß sanitiert werden.
Mildernde Faktoren
Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:
- Um den bösartigen Link zu generieren, muss ein Angreifer bereits ein authentifizierter Exchange-Benutzer sein und in der Lage sein, E-Mail-Nachrichten zu senden.
- Der bösartige Link könnte in einer E-Mail gesendet werden, aber der Angreifer müsste den Benutzer davon überzeugen, den Link zu öffnen, um die Sicherheitsanfälligkeit auszunutzen.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (9. Dezember 2014): Bulletin veröffentlicht.
- V2.0 (10. Dezember 2014): Überarbeitetes Bulletin zum Entfernen des Download Center-Links für das Microsoft-Sicherheitsupdate 2986475 für Microsoft Exchange Server 2010 Service Pack 3, um ein bekanntes Problem mit dem Update zu beheben. Microsoft arbeitet daran, das Problem zu beheben, und aktualisiert dieses Bulletin, wenn weitere Informationen verfügbar sind. Microsoft hat update 2986475 entfernt und empfiehlt Kunden, update 2986475 zu deinstallieren, wenn sie es bereits installiert haben.
- V3.0 (12. Dezember 2014): Erneut veröffentlichtes Bulletin, um die erneute Wiederverwendung des Microsoft-Sicherheitsupdates 2986475 für Microsoft Exchange Server 2010 Service Pack 3 bekanntzugeben. Das releasierte Update behebt ein bekanntes Problem im ursprünglichen Angebot. Kunden, die das ursprüngliche Update deinstalliert haben, sollten die aktualisierte Version von 2986475 frühestens installieren.
Seite generiert 2015-01-14 11:56Z-08:00.