Microsoft biztonsági tanácsadó 2401593

Az Outlook Web Access biztonsági rése jogok kiterjesztését okozhatja

Közzétéve: 2010. szeptember 14.

Verzió: 1.0

Általános tudnivalók

Összefoglalás

A Microsoft lezárta az Outlook Web Access (OWA) Microsoft Exchange ügyfeleket érintő, nyilvánosan jelentett biztonsági résére vonatkozó vizsgálatot. A biztonsági rést sikeresen kihasználó támadó megtámadhat egy hitelesített OWA munkamenetet. Ezután a támadó a jogosult felhasználó nevében, de a felhasználó tudta nélkül hajthat végre műveleteket az aktív OWA munkamenet biztonsági környezetében.

A biztonsági rés a Microsoft Exchange Server 2003 és Microsoft Exchange Server 2007 támogatott kiadásait érinti (kivéve Microsoft Exchange Server 2007 Service Pack 3). A Microsoft Exchange Server 2000, Microsoft Exchange Server 2007 Service Pack 3 és Microsoft Exchange Server 2010 rendszert nem érinti a biztonsági rés kockázata. További tudnivalókat a közlemény Érintett és nem érintett szoftverek című részében talál.

A Microsoft a biztonsági rés elhárítása érdekében javasolja az érintett Microsoft Exchange Server kiadások frissítését egy nem érintett Microsoft Exchange Server verzióra. Ha most nem tud frissíteni, a támadási lehetőségeket korlátozó egyéb lépéseket lásd a Lehetséges megoldások részben.

Jelenleg nincs tudomásunk a biztonsági rést kihasználni próbáló támadásról. Folytatjuk a fenyegetési környezet megfigyelését, és a helyzet változása esetén frissítjük a tanácsadót.

Tanácsadói részletek

Kiadás hivatkozások

A kiadással kapcsolatos további tájékoztatást az alábbi hivatkozásokon talál:

HivatkozásokAzonosítás
CVE-hivatkozás CVE-2010-3213

Érintett és nem érintett szoftverek

A tanácsadó a következő szoftvereket tárgyalja.

Érintett szoftverek
Microsoft Exchange Server 2003 Service Pack 2
Microsoft Exchange Server 2007 Service Pack 1
Microsoft Exchange Server 2007 Service Pack 2
Nem veszélyeztetett szoftverek
Microsoft Exchange Server 2000 Service Pack 3
Microsoft Exchange Server 2007 Service Pack 3
Microsoft Exchange Server 2010
Microsoft Exchange Server 2010 Service Pack 1

Mire terjed ki a tanácsadó hatása?  
A Microsoftnak tudomása van a Microsoft Exchange Server rendszer Outlook Web Access (OWA) összetevőjét érintő új biztonsági résről. Ez az Érintett szoftverek részben felsorolt szoftvereket érinti.

Mi az Exchange Outlook Web Access (OWA)?  
Az Outlook Web Access (OWA) a Microsoft Exchange Server 5.0 és későbbi verziók internetes levelegőszolgáltatása. Az Outlook Web Access webes felülete hasonlít a Microsoft Outlook felületére. Az Outlook Web Access a Microsoft Exchange Server rendszer része.

Mi okozza a fenyegetést?  
Adott körülmények közt a támadó megtámadhat egy hitelesített OWA munkamenetet, és a felhasználó tudta nélkül az ő nevében hajthat végre műveleteket.

Mire használhatja ezt a biztonsági rést a támadó?  
A biztonsági rést sikeresen kihasználó támadó a jogosult felhasználó nevében különböző műveleteket hajthat végre az aktív OWA munkamenet biztonsági környezetében (pl. e-mail üzenetek olvasása, új szabályok megadása a beérkezett üzenetekhez, OWA felhasználói beállítások módosítása).

Hogyan használhatja ki a támadó a biztonsági rést?  
A támadó a biztonsági rés kihasználásához ráveheti a megcélzott felhasználót, hogy látogasson el egy rosszindulatú weboldalra, amit a támadó kifejezetten az adott Exchange tartomány aktív OWA munkamenet keretében történő megtámadására hozott létre.

Miért nem kapcsolódik biztonsági frissítés a biztonsági rés megoldásához?  
Nincs biztonsági frissítés, mivel a biztonsági rés megoldásához áttervezésre lenne szükség: új hitelesítési rendszert kellene alkalmazni az OWA http-kérésekre, nehogy a támadó hozzá tudjon férni a felhasználó OWA munkamenetéhez. A Microsoft úgy ítélte, hogy az érintett Microsoft Exchange Server verziók ilyen mértékű áttervezése veszélyeztetné a rendszer stabilitását, és felborítaná az ügyfélkörnyezetek működését.

Mi a teendő, ha olyan termékverziót használok, amihez nincs elérhető frissítés?  
Az érintett Microsoft Exchange Server verziókat futtató rendszergazdák frissítsenek nem érintett Microsoft Exchange Server verzióra. A Microsoft Exchange Server 2007 Service Pack 3 és a Microsoft Exchange Server 2010 rendszert nem érinti a biztonsági rés kockázata.

Ha a rendszergazda most nem tud frissíteni, a támadási lehetőségeket korlátozó egyéb lépéseket lásd a Lehetséges megoldások részben.

A biztonsági tanácsadóban tárgyalt szoftvernél korábbi kiadással rendelkezem. Mi a teendő?  
Teszteléssel állapították meg a tanácsadóban tárgyalt szoftverkiadások érintettségét. A többi kiadás támogatási életciklusa végére ért. Ha többet szeretne tudni a Windows termékek életciklusáról, keresse fel a Microsoft támogatási életciklusokkal foglalkozó webhelyét.

A szoftver korábbi kiadásai felhasználóinak számára azt javasoljuk, hogy a potenciális biztonsági veszélyek elkerülése érdekében sürgősen térjenek át valamelyik támogatott kiadású szoftverre. A szoftverkiadás támogatási életciklusáról lásd a Termék kiválasztása életciklusadatok megtekintéséhez c. részt. A szoftverkiadásokhoz tartozó javítócsomagok részleteit lásd az Életcikluson át támogatott szervizcsomagok c. részben.

Azok az ügyfelek, akik további támogatást igényelnek ezekhez a korábbi verziókhoz, a támogatási lehetőségekről érdeklődjenek a Microsoft ügyfélkapcsolati képviselőjénél, a műszaki kapcsolattartótól vagy a Microsoft megfelelő partnerképviseletétől. Alliance, Premier vagy Authorized szerződéssel rendelkező felhasználóink forduljanak a Microsoft helyi értékesítési irodájához. Az elérhetőségeket keresse a Microsoft Worldwide Information webhelyen: válasszon egy országot a legördülő listából, majd az Indítás gombra kattintva jelenítse meg a telefonszámokat. Telefonáláskor keresse a helyi értékesítési menedzsert. További információ: Microsoft termékek terméktámogatási időszakával kapcsolatos, gyakran ismételt kérdések.

A hibát enyhítő tényezők

Az enyhítő tényezők közé sorolható egy beállítás, konfiguráció vagy általánosan bevált gyakorlat, amely alapértelmezett állapotában csökkentheti a biztonsági rés kihasználásának valószínűségét. A következő enyhítő tényezők hasznosnak bizonyulhatnak:

  • Webalapú támadás esetén a támadónak olyan webhelyet kell üzemeltetnie, amely egy, a biztonsági rés kihasználását lehetővé tevő weblapot tartalmaz. Az érintett weboldalak és a felhasználó által biztosított tartalomnak, esetleg hirdetéseknek helyet adó weboldalak is tartalmazhatnak a biztonsági rést kihasználni képes különlegesen kialakított tartalmat. A támadóknak azonban nem áll módjukban a felhasználókat ezeknek a weboldalaknak a látogatására kényszerítenie. Ehelyett a támadóknak egy adott webhelyre kell csábítaniuk a felhasználókat. Ezt rendszerint úgy érik el, hogy ráveszik őket arra, hogy kattintsanak rá egy e-mailben lévő hivatkozásra vagy azonnali üzenetkezelőben megjelenő kérésre.

Lehetséges megoldások

A következő megoldások olyan beállításra vagy konfigurációra utalnak, ami nem hárítja el a teljes problémát, de korlátozza annak kihasználási lehetőségeit a támadó részéről.

Megjegyzés Ezek a megoldások nem ismert támadási módszereket akadályoznak meg, hanem egyes funkciók szelektív letiltásával korlátozzák a biztonsági rés kihasználási lehetőségeit a támadó részéről.

  • Tiltson le szabályokat szegmentálással

    A kiszolgálónkénti szegmentálás alkalmas az Outlook Web Access működésének módosítására. Az Outlook Web Access egyes funkcióinak kihasználó támadók kiszűrése végett a rendszergazdák szegmentálást alkalmazhatnak egyes funkciók szelektív letiltására.

    A szegmentálással történő szabályletiltásról a Microsoft Exchange Server 2007 rendszerben lásd a Szegmentálás az Outlook Web Access programban c. TechNet cikket.

    A szegmentálással történő szabályletiltásról a Microsoft Exchange Server 2003 rendszerben lásd a Microsoft Tudásbázis 833340. cikkét.

    A megoldás hatása. A szabályok letiltása megakadályozza, hogy a támadó módosítsa a felhasználói szabálybeállításokat az OWA révén, illetve adatokat mentsen ki a rendszerből. A támadó azonban továbbra is módosítja a többi felhasználói beállítást. A megoldás alkalmazását követően a felhasználók többé nem hozhatnak létre és nem frissíthetnek szabályokat az OWA környezetében. A meglévő szabályok továbbra is működnek. A megoldás hatása csak az Outlook Web Access működését érinti, az Outlook ügyfélét nem.

  • Az UrlScan segítségével tiltsa le a Beállítások területet

    A megoldás alkalmazását követően a támadó nem képes megtekinteni, illetve módosítani az Exchange beállításokat az OWA keretein belül, és megakadályozza a legtöbb ismert támadási módszert, ami a jelen tanácsadó ismertet.

    A Beállítások terület UrlScan segítségével történő letiltásáról lásd a Microsoft Tudásbázis 2299129. cikkét.

    A megoldás hatása. A felhasználók ezután nem képesek módosítani az Exchange beállításait az OWA keretein belül. A Beállítások letiltása a szabályok működését is letiltja (lásd fent). A megoldás hatása csak az Outlook Web Access működését érinti, az Outlook ügyfélét nem.

További ajánlott teendők

  • Frissítsen nem érintett Microsoft Exchange Server verzióra

    A Microsoft a biztonsági rés elhárítása érdekében javasolja az érintett Microsoft Exchange Server kiadások frissítését egy nem érintett Microsoft Exchange Server verzióra. A Microsoft Exchange Server 2007 Service Pack 3 és a Microsoft Exchange Server 2010 rendszert nem érinti a biztonsági rés kockázata.

  • Tartsa naprakészen Windows rendszerét

    A lehetséges legnagyobb biztonság érdekében a Windows minden felhasználójának a Microsoft legújabb biztonsági frissítéseit kell használnia. Ha nem biztos abban, hogy szoftvere naprakész-e, látogasson el a Windows Update webhelyre, ellenőrizze számítógépén az elérhető frissítéseket, és telepítse a felkínált magas prioritású frissítéseket. Ha engedélyezte az Automatikus frissítés funkciót, már a nyilvánosságra hozatal időpontjában hozzájuthat a frissítésekhez, csak telepítenie kell őket.

Egyéb információ

Microsoft Active Protections Program (MAPP)

Az ügyfelek védelmének növelése érdekében a biztonsági szoftverekkel foglalkozó nagyobb gyártók a Microsoft a havi biztonsági közlemények megjelenése előtt ellátja biztonsági résekkel kapcsolatos információkkal. Így a biztonságiszoftver-gyártók a kapott biztonsági résekkel kapcsolatos információt felhasználhatják ügyfeleik hatásosabb védelmére az olyan biztonsági szoftverek vagy eszközök (például víruskeresők, hálózati behatolásérzékelő rendszerek vagy kiszolgálóalapú behatolásvédelmi rendszerek) frissítése által. A biztonságiszoftver-gyártók által kiadott aktív védelem elérhetőségéről a Microsoft Active Protections Program (MAPP) Partners webhelyén található listán szereplő és a programban részt vevő gyártók aktív védelmi webhelyein tájékozódhat.

Visszajelzés

Terméktámogatás

Felelősséget kizáró nyilatkozat

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók

  • 1.0 verzió (2010. szeptember 14.): Tanácsadó közzététele.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: