Beveiligingsadvies
Microsoft Security Advisory 2401593
Beveiligingsprobleem in Outlook Web Access kan uitbreiding van bevoegdheden toestaan
Gepubliceerd: 14 september 2010
Versie: 1.0
Algemene gegevens
Samenvatting
Microsoft heeft het onderzoek afgerond naar een openbaar openbaar bekend beveiligingsprobleem in Outlook Web Access (OWA) dat van invloed kan zijn op Microsoft Exchange-klanten. Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan een geverifieerde OWA-sessie kapen. De aanvaller kan vervolgens acties uitvoeren namens de geverifieerde gebruiker zonder dat de gebruiker hiervan op de hoogte is, binnen de beveiligingscontext van de actieve OWA-sessie.
Dit beveiligingsprobleem is van invloed op ondersteunde edities van Microsoft Exchange Server 2003 en Microsoft Exchange Server 2007 (met uitzondering van Microsoft Exchange Server 2007 Service Pack 3). Microsoft Exchange Server 2000, Microsoft Exchange Server 2007 Service Pack 3 en Microsoft Exchange Server 2010 worden niet beïnvloed door het beveiligingsprobleem. Zie de sectie Betrokken en Niet-beïnvloede software voor meer informatie.
Microsoft raadt klanten aan om de betreffende edities van Microsoft Exchange Server te upgraden naar een niet-beïnvloede versie van Microsoft Exchange Server om het beveiligingsprobleem op te lossen. Klanten die op dit moment niet kunnen upgraden, kunnen verwijzen naar de sectie Tijdelijke oplossingen voor opties die kunnen helpen beperken hoe een aanvaller misbruik kan maken van het beveiligingsprobleem.
Op dit moment zijn we niet op de hoogte van eventuele aanvallen die dit beveiligingsprobleem proberen te misbruiken. We blijven het bedreigingslandschap bewaken en dit advies bijwerken als de situatie verandert.
Adviesdetails
Probleemverwijzingen
Zie de volgende verwijzingen voor meer informatie over dit probleem:
| Verwijzingen | Kenmerk |
|---|---|
| CVE-verwijzing | CVE-2010-3213 |
Betrokken en niet-beïnvloede software
In dit advies worden de volgende software besproken.
| Betrokken software |
| Microsoft Exchange Server 2003 Service Pack 2 |
| Microsoft Exchange Server 2007 Service Pack 1 |
| Microsoft Exchange Server 2007 Service Pack 2 |
| Niet-beïnvloede software |
| Microsoft Exchange Server 2000 Service Pack 3 |
| Microsoft Exchange Server 2007 Service Pack 3 |
| Microsoft Exchange Server 2010 |
| Microsoft Exchange Server 2010 Service Pack 1 |
Veelgestelde vragen
Wat is het bereik van het advies?
Microsoft is op de hoogte van een nieuw rapport over beveiligingsproblemen dat van invloed is op Outlook Web Access (OWA) voor Microsoft Exchange Server. Dit is van invloed op de software die wordt vermeld in de sectie Betrokken software .
Wat is Exchange Outlook Web Access (OWA)?
Outlook Web Access (OWA) is een webmailservice van Microsoft Exchange Server 5.0 en hoger. De webinterface van Outlook Web Access lijkt op de interface in Microsoft Outlook. Outlook Web Access wordt geleverd als onderdeel van Microsoft Exchange Server.
Wat veroorzaakt deze bedreiging?
Onder bepaalde omstandigheden kan een geverifieerde OWA-sessie worden gekaapt door een aanvaller om acties uit te voeren namens de gebruiker zonder dat de gebruiker hiervan op de hoogte is.
Wat kan een aanvaller doen met dit beveiligingsprobleem?
Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan acties uitvoeren namens de geverifieerde gebruiker in de beveiligingscontext van de actieve OWA-sessie, zoals het lezen van e-mailberichten, het toevoegen van nieuwe regels voor Postvak IN of het wijzigen van de OWA-gebruikersvoorkeuren.
Hoe kan een aanvaller misbruik maken van het beveiligingsprobleem?
Een aanvaller kan dit beveiligingsprobleem misbruiken door een doelgebruiker te overtuigen een schadelijke webpagina te bezoeken die de aanvaller specifiek heeft gemaakt voor het beoogde Exchange-domein, tijdens een actieve OWA-sessie.
Waarom is er geen beveiligingsupdate om dit beveiligingsprobleem op te lossen?
Er is geen beveiligingsupdate beschikbaar omdat het oplossen van het beveiligingsprobleem een ontwerpwijziging vereist om een nieuw verificatieframework voor http-aanvragen voor OWA te implementeren om te voorkomen dat een aanvaller de OWA-sessie van een gebruiker kapt. Microsoft heeft vastgesteld dat het introduceren van een ontwerpwijziging van een dergelijke omvang in betrokken versies van Microsoft Exchange Server te hoog zou zijn voor het risico op het stabiliseren en breken van klantomgevingen.
Wat moet ik doen als ik versies van het product gebruik waarvoor een update niet beschikbaar is?
Beheer istrators waarop betrokken edities van Microsoft Exchange Server worden uitgevoerd, moeten upgraden naar een niet-beïnvloede versie van Microsoft Exchange Server. Microsoft Exchange Server 2007 Service Pack 3 en Microsoft Exchange Server 2010 worden niet beïnvloed door het beveiligingsprobleem.
Beheer istrators die op dit moment niet kunnen upgraden, kunnen verwijzen naar de Sectie Tijdelijke oplossingen voor opties die kunnen helpen beperken hoe een aanvaller misbruik kan maken van het beveiligingsprobleem.
Ik gebruik een oudere versie van de software die in dit beveiligingsadvies wordt besproken. Wat moet ik doen?
De betrokken software die in dit advies wordt vermeld, is getest om te bepalen welke releases worden beïnvloed. Andere releases zijn voorbij hun levenscyclus van ondersteuning. Ga naar de website Microsoft Ondersteuning Levenscyclus voor meer informatie over de levenscyclus van het product.
Het moet een prioriteit zijn voor klanten die oudere releases van de software hebben om te migreren naar ondersteunde releases om potentiële blootstelling aan beveiligingsproblemen te voorkomen. Zie Een product voor levenscyclusgegevens selecteren om de ondersteuningslevenscyclus voor uw softwarerelease te bepalen. Zie Levenscyclus ondersteunde servicepacks voor meer informatie over servicepacks voor deze softwarereleases.
Klanten die aangepaste ondersteuning voor oudere software nodig hebben, moeten contact opnemen met de vertegenwoordiger van het Microsoft-accountteam, de technische accountmanager of de juiste Microsoft-partnervertegenwoordiger voor aangepaste ondersteuningsopties. Klanten zonder een Alliance, Premier of Authorized Contract kunnen contact opnemen met hun lokale Microsoft-verkoopkantoor. Voor contactgegevens gaat u naar de website Microsoft Worldwide Information , selecteert u het land in de lijst met contactgegevens en klikt u op Ga om een lijst met telefoonnummers weer te geven. Wanneer u belt, vraagt u om te spreken met de lokale Premier Support-verkoopmanager. Zie de veelgestelde vragen over het levenscyclusbeleid van Microsoft Ondersteuning voor meer informatie.
Factoren en voorgestelde acties beperken
Factoren beperken
Risicobeperking verwijst naar een instelling, algemene configuratie of algemene best practice, bestaande in een standaardstatus, die de ernst van de exploitatie van een beveiligingsprobleem kan verminderen. De volgende beperkende factoren kunnen nuttig zijn in uw situatie:
- In een scenario met webaanvallen kan een aanvaller een website hosten die een webpagina bevat die wordt gebruikt om dit beveiligingsprobleem te misbruiken. Bovendien kunnen gecompromitteerde websites en websites die door de gebruiker geleverde inhoud of advertenties accepteren of hosten, speciaal gemaakte inhoud bevatten die misbruik kan maken van dit beveiligingsprobleem. In alle gevallen zou een aanvaller echter geen enkele manier hebben om gebruikers te dwingen deze websites te bezoeken. In plaats daarvan moet een aanvaller gebruikers overtuigen om de website te bezoeken, meestal door ze te laten klikken op een koppeling in een e-mailbericht of Chatbericht dat gebruikers naar de website van de aanvaller brengt.
Tijdelijke oplossingen
De volgende tijdelijke oplossingen verwijzen naar een instelling of configuratiewijziging die het onderliggende probleem niet corrigeert, maar zou helpen beperken wat een aanvaller zou kunnen doen om het beveiligingsprobleem te gebruiken.
Houd er rekening mee dat deze tijdelijke oplossingen geen bekende aanvalsvectoren blokkeren, maar in plaats daarvan helpen beperken hoe een aanvaller misbruik kan maken van het beveiligingsprobleem door de functionaliteit selectief uit te schakelen.
Regels uitschakelen met segmentatie
Segmentatie kan per server worden uitgevoerd om de functionaliteit van Outlook Web Access te wijzigen. Om te voorkomen dat aanvallers bepaalde functies in Outlook Web Access misbruiken, kunnen Beheer istrators ervoor kiezen om segmentatie te implementeren om functies selectief uit te schakelen.
Zie het TechNet-artikel Over het beheren van segmentatie in Outlook Web Access voor meer informatie over het uitschakelen van regels met behulp van segmentatie in Microsoft Exchange Server 2007.
Zie Microsoft Knowledge Base-artikel 833340 voor informatie over het uitschakelen van regels met segmentatie in Microsoft Exchange Server 2003.
Gevolgen van tijdelijke oplossing. Als u regels uitschakelt, voorkomt u dat een aanvaller de regels van de gebruiker wijzigt via OWA, waardoor exfiltratie van gegevens wordt voorkomen. Een aanvaller kan echter nog steeds de andere opties van een gebruiker wijzigen. Na het implementeren van deze tijdelijke oplossing kunnen gebruikers geen regels meer maken of bijwerken met OWA. Bestaande regels blijven werken. De impact van deze tijdelijke oplossing is alleen van invloed op de functionaliteit in Outlook Web Access, niet in een Outlook-client.
Het deelvenster Opties uitschakelen met Behulp van UrlScan
Door deze tijdelijke oplossing te implementeren, voorkomt u dat een aanvaller exchange-opties kan bekijken of wijzigen via OWA, waardoor de meest bekende aanvallen tegen het beveiligingsprobleem dat in dit advies wordt beschreven, worden voorkomen.
Zie het Microsoft Knowledge Base-artikel 2299129 voor informatie over het uitschakelen van het deelvenster Opties met behulp van UrlScan.
Gevolgen van tijdelijke oplossing. Gebruikers kunnen Exchange-opties niet meer wijzigen met behulp van OWA. Als u Opties uitschakelt, worden ook regels uitgeschakeld, zoals hierboven beschreven. De impact van deze tijdelijke oplossing is alleen van invloed op de functionaliteit in Outlook Web Access, niet in een Outlook-client.
Aanvullende voorgestelde acties
Upgraden naar een niet-beïnvloede versie van Microsoft Exchange Server
Microsoft raadt klanten aan om de betreffende edities van Microsoft Exchange Server te upgraden naar een niet-beïnvloede versie van Microsoft Exchange Server om het beveiligingsprobleem op te lossen. Microsoft Exchange Server 2007 Service Pack 3 en Microsoft Exchange Server 2010 worden niet beïnvloed door het beveiligingsprobleem.
Windows bijgewerkt houden
Alle Windows-gebruikers moeten de nieuwste beveiligingsupdates van Microsoft toepassen om ervoor te zorgen dat hun computers zo goed mogelijk zijn beveiligd. Als u niet zeker weet of uw software up-to-date is, gaat u naar Windows Update, scant u uw computer op beschikbare updates en installeert u eventuele updates met hoge prioriteit die aan u worden aangeboden. Als automatische updates zijn ingeschakeld, worden de updates aan u geleverd wanneer ze worden uitgebracht, maar moet u ervoor zorgen dat u ze installeert.
Overige informatie
Microsoft Active Protections Program (MAPP)
Om de beveiliging voor klanten te verbeteren, biedt Microsoft informatie over beveiligingsproblemen aan belangrijke beveiligingssoftwareproviders voorafgaand aan elke maandelijkse beveiligingsupdaterelease. Beveiligingssoftwareproviders kunnen deze beveiligingsinformatie vervolgens gebruiken om bijgewerkte beveiligingen te bieden aan klanten via hun beveiligingssoftware of -apparaten, zoals antivirussoftware, netwerkgebaseerde inbraakdetectiesystemen of systemen voor inbraakpreventie op basis van een host. Als u wilt bepalen of actieve beveiligingen beschikbaar zijn bij beveiligingssoftwareproviders, gaat u naar de actieve beveiligingswebsites die worden geleverd door programmapartners, vermeld in MAPP-partners (Microsoft Active Protections Program).
Feedback
- U kunt feedback geven door het Microsoft Help- en ondersteuningsformulier, de klantenservice contact met ons op te geven.
Ondersteuning
- Klanten in de Verenigde Staten en Canada kunnen technische ondersteuning van Security Support ontvangen. Zie Microsoft Help en ondersteuning voor meer informatie over beschikbare ondersteuningsopties.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Ga naar Internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor internationale ondersteuningsproblemen.
- Microsoft TechNet Security biedt aanvullende informatie over beveiliging in Microsoft-producten.
Vrijwaring
De informatie die in dit advies wordt verstrekt, wordt "zoals zodanig" verstrekt zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (14 september 2010): Advies gepubliceerd.
Gebouwd op 2014-04-18T13:49:36Z-07:00