• Article

Avis de sécurité

Conseils de sécurité Microsoft 2401593

La vulnérabilité dans Outlook Web Access peut autoriser l’élévation de privilèges

Publication : 14 septembre 2010

Version : 1.0

Informations générales

Résumé

Microsoft a terminé l’examen d’une vulnérabilité divulguée publiquement dans Outlook Web Access (OWA) qui peut affecter les clients Microsoft Exchange. Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait détourner une session OWA authentifiée. L’attaquant peut ensuite effectuer des actions pour le compte de l’utilisateur authentifié sans connaître l’utilisateur, dans le contexte de sécurité de la session OWA active.

Cette vulnérabilité affecte les éditions prises en charge de Microsoft Exchange Server 2003 et Microsoft Exchange Server 2007 (à l’exception de Microsoft Exchange Server 2007 Service Pack 3). Microsoft Exchange Server 2000, Microsoft Exchange Server 2007 Service Pack 3 et Microsoft Exchange Server 2010 ne sont pas affectés par la vulnérabilité. Pour plus d’informations, consultez la section, Les logiciels affectés et non affectés.

Microsoft recommande aux clients qui exécutent des éditions affectées de la mise à niveau de Microsoft Exchange Server vers une version non affectée de Microsoft Exchange Server pour résoudre la vulnérabilité. Les clients qui ne peuvent pas effectuer la mise à niveau à ce stade peuvent faire référence à la section Solutions de contournement pour les options qui peuvent vous aider à limiter la façon dont un attaquant peut exploiter la vulnérabilité.

À ce stade, nous ne sommes pas au courant des attaques qui tentent d’exploiter cette vulnérabilité. Nous continuerons à surveiller le paysage des menaces et à mettre à jour cet avis si la situation change.

Détails de l’avis

Références de problème

Pour plus d’informations sur ce problème, consultez les références suivantes :

Références Identification
Référence CVE CVE-2010-3213

Logiciels affectés et non affectés

Cet avis traite du logiciel suivant.
Logiciel affecté
Microsoft Exchange Server 2003 Service Pack 2
Microsoft Exchange Server 2007 Service Pack 1
Microsoft Exchange Server 2007 Service Pack 2
Logiciels non affectés
Microsoft Exchange Server 2000 Service Pack 3
Microsoft Exchange Server 2007 Service Pack 3
Microsoft Exchange Server 2010
Microsoft Exchange Server 2010 Service Pack 1

Forums Aux Questions (FAQ)

Quelle est la portée de l’avis ?
Microsoft est conscient d’un nouveau rapport de vulnérabilité affectant Outlook Web Access (OWA) pour Microsoft Exchange Server. Cela affecte le logiciel répertorié dans la section Logiciels affectés.

Qu’est-ce qu’Exchange Outlook Web Access (OWA) ?
Outlook Web Access (OWA) est un service de messagerie web de Microsoft Exchange Server 5.0 et versions ultérieures. L’interface web d’Outlook Web Access ressemble à l’interface dans Microsoft Outlook. Outlook Web Access fait partie de Microsoft Exchange Server.

Quelles sont les causes de cette menace ?
Dans certaines circonstances, une session OWA authentifiée peut être détournée par un attaquant pour effectuer des actions pour le compte de l’utilisateur sans connaître l’utilisateur.

Qu’est-ce qu’un attaquant peut utiliser cette vulnérabilité ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut effectuer des actions pour le compte de l’utilisateur authentifié dans le contexte de sécurité de la session OWA active, comme lire des messages électroniques, ajouter de nouvelles règles de boîte de réception ou modifier les préférences utilisateur OWA.

Comment un attaquant pourrait-il exploiter la vulnérabilité ?
Un attaquant pourrait exploiter cette vulnérabilité en convainquant un utilisateur ciblé de visiter une page Web malveillante que l’attaquant a conçu spécifiquement pour le domaine Exchange ciblé, pendant une session OWA active.

Pourquoi aucune mise à jour de sécurité n’est-elle mise à jour pour résoudre cette vulnérabilité ?
Une mise à jour de sécurité n’est pas disponible, car l’adressage de la vulnérabilité nécessiterait une modification de conception pour implémenter un nouveau framework de vérification de requête HTTP pour OWA afin d’empêcher un attaquant de détourner la session OWA d’un utilisateur. Microsoft a déterminé que l’introduction d’un changement de conception d’une telle ampleur dans les versions affectées de Microsoft Exchange Server porterait trop de risques de déstabilisation et de rupture des environnements clients.

Que faire si j’utilise des versions du produit pour lesquelles une mise à jour n’est pas disponible ?
Administration istrateurs exécutant les éditions affectées de Microsoft Exchange Server doivent être mis à niveau vers une version non affectée de Microsoft Exchange Server. Microsoft Exchange Server 2007 Service Pack 3 et Microsoft Exchange Server 2010 ne sont pas affectés par la vulnérabilité.

Administration istrateurs qui ne peuvent pas effectuer la mise à niveau pour l’instant peut faire référence auSection Solutions de contournement pour les options qui peuvent vous aider à limiter la façon dont un attaquant peut exploiter la vulnérabilité.

J’utilise une version plus ancienne du logiciel abordé dans cet avis de sécurité. Que dois-je faire ?
Les logiciels concernés répertoriés dans cet avis ont été testés pour déterminer quelles versions sont affectées. D’autres versions sont passées au-delà de leur cycle de vie de support. Pour plus d’informations sur le cycle de vie des produits, visitez le site web Support Microsoft cycle de vie.

Il doit s’agir d’une priorité pour les clients qui ont des versions antérieures du logiciel à migrer vers des versions prises en charge afin d’éviter toute exposition potentielle aux vulnérabilités. Pour déterminer le cycle de vie de prise en charge de votre version logicielle, consultez Sélectionner un produit pour les informations de cycle de vie. Pour plus d’informations sur les Service Packs pour ces versions logicielles, consultez Service Packs pris en charge par le cycle de vie.

Les clients qui ont besoin d’un support personnalisé pour les logiciels plus anciens doivent contacter leur représentant de l’équipe de compte Microsoft, leur responsable de compte technique ou le représentant partenaire Microsoft approprié pour les options de support personnalisé. Les clients sans contrat Alliance, Premier ou Autorisé peuvent contacter leur bureau de vente Microsoft local. Pour obtenir des informations de contact, visitez le site web Microsoft Worldwide Information , sélectionnez le pays dans la liste des informations de contact, puis cliquez sur Atteindre pour afficher la liste des numéros de téléphone. Lorsque vous appelez, demandez à parler avec le directeur commercial premier support local. Pour plus d’informations, consultez le FAQ Support Microsoft politique de cycle de vie.

Atténuation des facteurs et actions suggérées

Facteurs d’atténuation

L’atténuation fait référence à un paramètre, à une configuration courante ou à une meilleure pratique générale, existant dans un état par défaut, qui peut réduire la gravité de l’exploitation d’une vulnérabilité. Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :

  • Dans un scénario d’attaque basé sur le web, un attaquant peut héberger un site Web qui contient une page Web utilisée pour exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent du contenu ou des publicités fournis par l’utilisateur peuvent contenir du contenu spécialement conçu qui pourrait exploiter cette vulnérabilité. Toutefois, dans tous les cas, un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter ces sites Web. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs de visiter le site Web, généralement en les obtenant pour cliquer sur un lien dans un message électronique ou un message Instantané Messenger qui amène les utilisateurs au site Web de l’attaquant.

Solutions de contournement

Les solutions de contournement suivantes font référence à un paramètre ou à une modification de configuration qui ne corrige pas le problème sous-jacent, mais permet de limiter ce qu’un attaquant peut utiliser la vulnérabilité à effectuer.

Notez que ces solutions de contournement ne bloquent pas les vecteurs d’attaque connus, mais permettent plutôt de limiter la façon dont un attaquant peut exploiter la vulnérabilité en désactivant de manière sélective les fonctionnalités.

  • Désactiver les règles à l’aide de la segmentation

    La segmentation peut être effectuée par serveur pour modifier les fonctionnalités d’Outlook Web Access. Pour empêcher les attaquants d’exploiter certaines fonctionnalités dans Outlook Web Access, les Administration istrateurs peuvent choisir d’implémenter la segmentation pour désactiver les fonctionnalités de manière sélective.

    Pour plus d’informations sur la désactivation des règles à l’aide de la segmentation dans Microsoft Exchange Server 2007, consultez l’article TechNet sur la gestion de la segmentation dans Outlook Web Access.

    Pour plus d’informations sur la désactivation des règles à l’aide de la segmentation dans Microsoft Exchange Server 2003, consultez l’article 833340 de la Base de connaissances Microsoft.

    Impact de la solution de contournement. La désactivation des règles empêche un attaquant de modifier les règles de l’utilisateur via OWA, ce qui empêche l’exfiltration des données. Toutefois, un attaquant peut toujours modifier les autres options d’un utilisateur. Après avoir implémenté cette solution de contournement, les utilisateurs ne pourront plus créer ou mettre à jour des règles à l’aide d’OWA. Les règles existantes continueront à fonctionner. L’impact de cette solution de contournement affecte uniquement les fonctionnalités dans Outlook Web Access, et non dans un client Outlook.

  • Désactiver le panneau Options à l’aide d’UrlScan

    L’implémentation de cette solution de contournement empêche un attaquant de pouvoir afficher ou modifier les options Exchange via OWA, ce qui empêche la plupart des attaques connues contre la vulnérabilité décrite dans cet avis.

    Pour plus d’informations sur la désactivation du panneau Options à l’aide d’UrlScan, consultez l’article de la Base de connaissances Microsoft 2299129.

    Impact de la solution de contournement. Les utilisateurs ne pourront plus modifier les options Exchange à l’aide de OWA. La désactivation des options désactive également les règles, comme décrit ci-dessus. L’impact de cette solution de contournement affecte uniquement les fonctionnalités dans Outlook Web Access, et non dans un client Outlook.

Actions suggérées supplémentaires

  • Mise à niveau vers une version non affectée de Microsoft Exchange Server

    Microsoft recommande aux clients qui exécutent des éditions affectées de la mise à niveau de Microsoft Exchange Server vers une version non affectée de Microsoft Exchange Server pour résoudre la vulnérabilité. Microsoft Exchange Server 2007 Service Pack 3 et Microsoft Exchange Server 2010 ne sont pas affectés par la vulnérabilité.

  • Conserver Windows mis à jour

    Tous les utilisateurs Windows doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez Windows Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si les Mises à jour automatiques sont activées, les mises à jour sont remises à vous quand elles sont publiées, mais vous devez vous assurer que vous les installez.

Autres informations

Programme Microsoft Active Protections (MAPP)

Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites Web de protection actifs fournis par les partenaires du programme, répertoriés dans les partenaires du Programme MAPP (Microsoft Active Protections Program).

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (14 septembre 2010) : avis publié.

Construit à 2014-04-18T13 :49 :36Z-07 :00