Bulletin de sécurité Microsoft MS15-064 - Important
Les vulnérabilités dans Microsoft Exchange Server peuvent autoriser l’élévation de privilèges (3062157)
Publication : 9 juin 2015
Version : 1.0
Résumé
Cette mise à jour de sécurité résout les vulnérabilités dans Microsoft Exchange Server. La plus grave des vulnérabilités peut autoriser l’élévation de privilèges si un utilisateur authentifié clique sur un lien vers une page web spécialement conçue. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter le site web. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs de cliquer sur un lien, généralement par le biais d’un enticement dans un e-mail ou un message Instantané Messenger.
Cette mise à jour de sécurité est classée Importante pour toutes les éditions prises en charge de Microsoft Exchange Server 2013. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour de sécurité résout les vulnérabilités par :
- Modification de la façon dont les applications web Exchange gèrent la stratégie de même origine
- Modification de la façon dont les applications web Exchange gèrent l’authentification de session utilisateur
- Correction de la façon dont les applications web Exchange nettoient les chaînes HTML
Pour plus d’informations sur les vulnérabilités, consultez la section Informations sur les vulnérabilités.
Pour plus d’informations sur ce document, consultez l’article 3062157 de la Base de connaissances Microsoft.
Logiciel affecté
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
| Logiciels | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Mises à jour remplacé |
|---|---|---|---|
| Logiciel Microsoft Server | |||
| Microsoft Exchange Server 2013 Service Pack 1 (3062157) | Élévation de privilège | Important | Aucun |
| Microsoft Exchange Server 2013 Cumulative Update 8 (3062157) | Élévation de privilège | Important | Aucun |
Faq sur la mise à jour
Cette mise à jour contient-elle des modifications non liées à la sécurité apportées aux fonctionnalités ?
Non, les Mises à jour de sécurité Exchange Server 2013 contiennent uniquement des correctifs pour le ou les problèmes identifiés dans le bulletin de sécurité.
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de juin.
| Évaluation de la gravité des vulnérabilités et impact maximal sur la sécurité par les logiciels affectés | ||||
|---|---|---|---|---|
| Logiciel affecté | Vulnérabilité de falsification de requête côté serveur Exchange - CVE-2015-1764 | Vulnérabilité de falsification de requête intersite Exchange - CVE-2015-1771 | Vulnérabilité d’injection HTML Exchange - CVE-2015-2359 | Évaluation de gravité agrégée |
| Logiciel Microsoft Server | ||||
| Microsoft Exchange Server 2013 Service Pack 1 (3062157) | Divulgation d’informations importantes | Élévation de privilège importante | Non applicable | Important |
| Microsoft Exchange Server 2013 Cumulative Update 8 (3062157) | Divulgation d’informations importantes | Élévation de privilège importante | Divulgation d’informations importantes | Important |
Informations sur la vulnérabilité
Vulnérabilité de falsification de requête côté serveur Exchange - CVE-2015-1764
Une vulnérabilité de divulgation d’informations existe dans les applications web Microsoft Exchange quand Exchange ne gère pas correctement la stratégie de même origine. Un attaquant peut exploiter cette vulnérabilité de falsification de requête côté serveur (SSRF) à l’aide d’une demande d’application web spécialement conçue. Un attaquant qui a réussi à exploiter cette vulnérabilité peut ensuite :
- Analyser et attaquer les systèmes derrière un pare-feu qui sont normalement inaccessibles à partir du monde extérieur
- Énumérer et attaquer les services qui s’exécutent sur ces systèmes hôtes
- Exploiter les services d’authentification basés sur l’hôte
Les applications web Exchange sont principalement à risque de cette vulnérabilité. La mise à jour résout la vulnérabilité en modifiant la façon dont les applications web Exchange gèrent la stratégie de même origine.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Vulnérabilité de falsification de requête intersite Exchange - CVE-2015-1771
Une vulnérabilité d’élévation de privilèges existe dans les applications web Microsoft Exchange quand Exchange ne gère pas correctement les sessions utilisateur. Pour que cette vulnérabilité de falsification de requête intersite (CSRF/XSRF) soit exploitée, la victime doit être authentifiée sur (connecté) au site cible.
Dans un scénario d’attaque web, un attaquant peut héberger un site web (ou tirer parti d’un site web compromis qui accepte ou héberge du contenu fourni par l’utilisateur) qui contient une page web spécialement conçue pour exploiter la vulnérabilité. Un attaquant n’aurait aucun moyen de forcer les utilisateurs à visiter le site web. Au lieu de cela, un attaquant aurait à convaincre les utilisateurs de cliquer sur un lien, généralement par le biais d’un enticement dans un e-mail ou un message Instantané Messenger. Un attaquant qui a réussi à exploiter cette vulnérabilité peut lire le contenu que l’attaquant n’est pas autorisé à lire, utiliser l’identité de la victime pour effectuer des actions sur l’application web pour le compte de la victime, telles que modifier les autorisations et supprimer du contenu, et injecter du contenu malveillant dans le navigateur de la victime.
Les applications web Exchange sont principalement à risque de cette vulnérabilité. La mise à jour résout la vulnérabilité en modifiant la façon dont les applications web Exchange gèrent l’authentification de session utilisateur.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Vulnérabilité d’injection HTML Exchange - CVE-2015-2359
Une vulnérabilité de divulgation d’informations existe dans les applications web Microsoft Exchange quand Exchange ne nettoie pas correctement les chaînes HTML. Pour exploiter cette vulnérabilité d’injection HTML, un attaquant doit avoir la possibilité de soumettre un script spécialement conçu à un site cible qui utilise l’assainissement HTML. Lorsque la vulnérabilité existe, dans des situations spécifiques, le script spécialement conçu n’est pas correctement nettoyé. Le script fourni par l’attaquant peut ensuite être exécuté dans le contexte de sécurité d’un utilisateur qui affiche le contenu malveillant.
Pour les attaques par injection HTML, cette vulnérabilité nécessite qu’un utilisateur visite un site compromis pour que toute action malveillante se produise. Par exemple, une fois qu’un attaquant a correctement soumis un script spécialement conçu à un site cible qui utilise l’assainissement HTML, toute page web sur ce site qui contient le script spécialement conçu est un vecteur potentiel pour les attaques persistantes de script intersites. Lorsqu’un utilisateur visite une page web qui contient le script spécialement conçu, le script peut être exécuté dans le contexte de sécurité de l’utilisateur.
Les systèmes où les utilisateurs se connectent à un site qui nettoie les chaînes HTML, telles que les stations de travail ou les serveurs terminal, sont principalement à risque. La mise à jour résout la vulnérabilité en corrigeant la façon dont les applications web Exchange nettoient les chaînes HTML.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Lorsque ce bulletin de sécurité a été émis, Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (9 juin 2015) : Bulletin publié.
Page générée 2015-06-03 12 :16Z-07 :00.