Exporteren (0) Afdrukken
Alles uitvouwen

Microsoft-beveiligingsadvies 2401593

Beveiligingslek in Outlook Web Access kan leiden tot misbruik van bevoegdheden

Gepubliceerd: dinsdag 14 september 2010

Versie: 1.0

Algemene informatie

Samenvatting

Microsoft heeft het onderzoek voltooid naar een openbaar gemeld beveiligingslek in Outlook Web Access (OWA), dat gevolgen kan hebben voor Microsoft Exchange-klanten. Een aanvaller die misbruik weer te maken van dit beveiligingslek, kan een geverifieerde OWA-sessie overnemen. De aanvaller kan dan binnen de beveiligingscontext van de actieve OWA sessie acties namens de geverifieerde gebruiker uitvoeren zonder dat deze daarvan op de hoogte is.

Dit beveiligingslek treft ondersteunde edities van Microsoft Exchange Server 2003 en Microsoft Exchange Server 2007 (behalve Microsoft Exchange Server 2007 Service Pack 3). Microsoft Exchange Server 2000, Microsoft Exchange Server 2007 Service Pack 3 en Microsoft Exchange Server 2010 worden niet door het beveiligingslek getroffen. Zie de sectie Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt voor meer informatie.

Microsoft raadt klanten die de getroffen edities van Microsoft Exchange Server uitvoeren aan, een upgrade naar een niet-getroffen versie van Microsoft Exchange Server uit te voeren, om zich tegen dit beveiligingslek te beschermen. Klanten die nu geen upgrade kunnen uitvoeren, kunnen de sectie Tijdelijke oplossingen raadplegen voor opties die kunnen beperken hoe een aanvaller het beveiligingslek kan misbruiken.

Wij zijn op dit moment niet op de hoogte van aanvallen waarbij wordt geprobeerd misbruik van dit beveiligingslek te maken. We blijven het werkingsgebied van deze bedreiging controleren en werken dit advies bij als de toestand verandert.

Details van het advies

Referenties met betrekking tot het probleem

Zie de volgende referenties voor meer informatie over dit probleem:

Meer informatieIdentificatie
CVE-verwijzing CVE-2010-3213

Software waarin dit probleem optreedt en software waarin dit probleem niet optreedt

Dit advies betreft de volgende software:

Software waarin dit probleem optreedt
Microsoft Exchange Server 2003 Service Pack 2
Microsoft Exchange Server 2007 Service Pack 1
Microsoft Exchange Server 2007 Service Pack 2
Software waarin dit probleem niet optreedt
Microsoft Exchange Server 2000 Service Pack 3
Microsoft Exchange Server 2007 Service Pack 3
Microsoft Exchange Server 2010
Microsoft Exchange Server 2010 Service Pack 1

Wat is de omvang van het advies?  
Microsoft is zich bewust van een nieuwe melding van een beveiligingslek in Outlook Web Access (OWA) voor Microsoft Exchange Server. Dit beveiligingslek is van invloed op de software die wordt genoemd in de sectie Software waarin dit probleem optreedt.

Wat is Exchange Outlook Web Access (OWA)?  
Outlook Web Access (OWA)) is een e-mailservice van Microsoft Exchange Server 5.0 en later. De webinterface van Outlook Web Access lijkt op de interface van Microsoft Outlook. Outlook Web Access wordt geleverd als onderdeel van Microsoft Exchange Server.

Wat kunnen de gevolgen van deze bedreiging zijn?  
Onder bepaalde omstandigheden kan een geverifieerde OWA-sessie door een aanvaller worden overgenomen zodat deze acties namens de gebruiker kan uitvoeren zonder dat de gebruiker daarvan op de hoogte is.

Met welk doel kan een aanvaller het beveiligingslek misbruiken?  
Een aanvaller die misbruik weet te maken van dit beveiligingslek kan acties namens de geverifieerde gebruiker uitvoeren in de beveiligingscontext van de actieve OWA sessie. De aanvaller zou bijvoorbeeld e-mailberichten kunnen lezen, nieuwe inkomende regels kunnen toevoegen of OWA-gebruikersvoorkeuren kunnen wijzigen.

Hoe kan een aanvaller dit beveiligingslek misbruiken?  
Een aanvaller kan misbruik maken van dit beveiligingslek door een aangevallen gebruiker tijdens een actieve OWA-sessie over te halen om een schadelijke webpagina te bezoeken die de aanvaller speciaal voor het aangevallen Exchange-domein heeft vervaardigd.

Waarom is er geen beveiligingsupdate om dit beveiligingslek op te lossen?  
Er is geen beveiligingsupdate verkrijgbaar omdat voor het oplossen van het beveiligingslek een ontwerpwijziging nodig is om een nieuw verificatieraamwerk voor HTTP-verzoeken voor OWA te implementeren, waardoor een aanvaller de OWA-sessie van een gebruiker niet meer kan overnemen. Microsoft heeft vastgesteld dat de introductie van een ontwerpverandering van zo'n omvang in getroffen versies van Microsoft Exchange Server een te hoog risico met zich meebrengt dat de klantomgevingen worden ontwricht.

Wat doe ik als ik versies van het product gebruik waarvoor geen update verkrijgbaar is?  
Beheerders die getroffen edities van Microsoft Exchange Server uitvoeren, moeten een upgrade uitvoeren naar een niet-getroffen versie van Microsoft Exchange Server. Microsoft Exchange Server 2007 Service Pack 3 en Microsoft Exchange Server 2010 worden niet door het beveiligingslek getroffen.

Beheerders die nu geen upgrade kunnen uitvoeren, kunnen de sectie Tijdelijke oplossingen raadplegen voor opties die kunnen beperken hoe een aanvaller het beveiligingslek kan misbruiken.

Ik gebruik een oudere versie van de software die staat beschreven in dit beveiligingsadvies. Wat moet ik doen?  
De software waarin het probleem optreedt en die in dit advies wordt vermeld, is getest om te controleren of het probleem bij deze versies optreedt. Andere versies hebben het einde van hun ondersteuningscyclus bereikt. Ga naar de volgende Microsoft Support Lifecycle-website voor meer informatie over de levenscyclus van Windows-producten.

Klanten die met deze besturingssysteemversies werken, kunnen er het beste voor kiezen om binnenkort te migreren naar versies waarvoor wel ondersteuning wordt aangeboden om te voorkomen dat potentiële beveiligingslekken een probleem vormen. Zie Selecteer een product voor lifecycle-informatie om de ondersteuningscyclus voor uw softwareversie te bepalen. Zie Lifecycle ondersteunde service packs voor meer informatie over service packs voor deze softwareversies.

Klanten die aangepaste ondersteuning voor deze producten nodig hebben, dienen voor aangepaste ondersteuningsopties contact op te nemen met hun Microsoft-accountteamvertegenwoordiger, hun technische accountmanager of de aangewezen vertegenwoordiger van hun Microsoft-partner. Klanten zonder Alliance-, Premier- of Authorized-contract kunnen contact opnemen met het Microsoft-verkoopkantoor in hun land. Voor contactinformatie gaat u naar de website Microsoft Worldwide en selecteert u het land in de lijst Contact Information. Klik vervolgens op Go om een lijst met telefoonnummers weer te geven. Wanneer u belt, vraag dan naar de Premier Support-verkoopmanager. Zie de Veelgestelde vragen over het Microsoft Support Lifecycle-beleid voor meer informatie.

Beperkende factoren

Met beperkende factoren wordt verwezen naar een instelling, de algehele configuratie of algemene tips voor een standaardstatus waarmee de ernst van misbruik via een beveiligingslek kan worden verminderd. De volgende beperkende factoren kunnen in uw situatie van pas komen:

  • In het geval van een aanval vanaf het web kan de aanvaller beschikken over een website waarop zich een webpagina bevindt waarmee dit beveiligingslek wordt misbruikt. Daarnaast kunnen ook gemanipuleerde websites en websites waarop gegevens of advertenties staan of gegevens of advertenties kunnen worden ingevoerd, schadelijke inhoud bevatten die dit beveiligingslek kunnen misbruiken. Een aanvaller kan echter een gebruiker er niet toe dwingen om naar deze websites te gaan. De aanvaller moet een gebruiker er dus van overtuigen een bezoek te brengen aan de website. In de meeste gevallen doet de aanvaller dat door de gebruiker ertoe te bewegen op een koppeling in een e-mailbericht of een verzoek in een expresbericht te klikken waarmee de gebruiker naar de website van de aanvaller gaat.

Tijdelijke oplossingen

De volgende tijdelijke oplossingen hebben betrekking op een instelling of configuratiewijziging die het onderliggende probleem niet verbetert, maar die kan beperken wat een aanvaller met het beveiligingslek kan doen.

Opmerking Deze tijdelijke oplossingen blokkeren geen bekende aanvalsvectoren, maar beperken hoe een aanvaller misbruik kan maken van het beveiligingslek door functionaliteit selectief uit te schakelen.

  • Schakel regels uit door segmentatie

    Segmentatie kan per server worden uitgevoerd om de functionaliteit van Outlook Web Access te wijzigen. Om te voorkomen dat aanvallers misbruik maken van bepaalde functies in Outlook Web Access, kunnen beheerder ervoor kiezen om segmentatie te implementeren om functies selectief uit te schakelen.

    Voor informatie over het uitschakelen van regels in Microsoft Exchange Server 2007 met behulp van segmentatie raadpleegt u het TechNet-artikel How to Manage Segmentation in Outlook Web Access.

    Voor informatie over het uitschakelen van regels in Microsoft Exchange Server 2003 met behulp van segmentatie raadpleegt u Microsoft Knowledge Base-artikel 833340.

    Gevolgen van de tijdelijke oplossing. Door regels uit te schakelen, voorkomt u dat een aanvaller de regels van de gebruiker wijzigt via OWA, om gegevensexfiltratie te voorkomen. Een aanvaller kan de andere opties van een gebruiker nog steeds wijzigen. Wanneer gebruikers deze tijdelijke oplossing hebben geïmplementeerd, kunnen ze geen regels meer maken of wijzigen met OWA. Bestaande regels blijven werken. De uitwerking van deze tijdelijke oplossing treft alleen functionaliteit in Outlook Web Access, niet in een Outlook-client.

  • Schakel het deelvenster Opties uit met UrlScan

    Door deze tijdelijke oplossing te implementeren, kan een aanvaller Exchange-opties niet meer weergeven of wijzigen via OWA en kunt u de meest bekende aanvallen voorkomen die het gevolg zijn van het beveiligingslek dat in dit advies is beschreven.

    Zie Microsoft Knowledge Base-artikel 2299129 voor informatie over hoe u het deelvenster Opties uitschakelt met UrlScan.

    Gevolgen van de tijdelijke oplossing. Gebruikers kunnen Exchange-opties niet meer wijzigen met OWA. Door Opties uit te schakelen, schakelt u ook regels uit, zoals hierboven is beschreven. De uitwerking van deze tijdelijke oplossing treft alleen functionaliteit in Outlook Web Access, niet in een Outlook-client.

Extra voorgestelde acties

  • Installeer een upgrade naar een niet-getroffen versie van Microsoft Exchange Server

    Microsoft raadt klanten die de getroffen edities van Microsoft Exchange Server uitvoeren aan, een upgrade naar een niet-getroffen versie van Microsoft Exchange Server uit te voeren, om zich tegen dit beveiligingslek te beschermen. Microsoft Exchange Server 2007 Service Pack 3 en Microsoft Exchange Server 2010 worden niet door het beveiligingslek getroffen.

  • Houd Windows up-to-date

    Alle gebruikers van Windows wordt aangeraden de nieuwste beveiligingsupdates van Microsoft te installeren om de beveiliging van hun computer te optimaliseren. Als u niet weet of uw software up-to-date is, gaat u naar de website Windows Update, scant u uw computer op beschikbare updates en installeert u alle updates met een hoge prioriteit. Als u Automatische updates hebt ingeschakeld, worden de updates naar u toegestuurd zodra ze zijn vrijgegeven, maar u moet ze wel nog installeren.

Overige informatie

Microsoft Active Protections Program (MAPP)

Om de beveiliging voor klanten te verbeteren, verstrekt Microsoft bij elke maandelijkse uitgifte van beveiligingsupdates informatie over beveiligingslekken aan de grote producenten van beveiligingsprogramma's. Deze producenten kunnen dan die informatie over beveiligingslekken gebruiken om hun klanten een betere beveiliging te bieden door hun software of apparatuur aan te passen, zoals antivirusprogramma's, inbraakdetectiesystemen voor netwerken of inbraakpreventiesystemen voor hosts. Op de websites van de programmapartners (zie Microsoft Active Protections Program (MAPP)-partners) kunt u nagaan of de leveranciers van beveiligingsprogramma's hun producten steeds aanpassen.

Feedback

Ondersteuning

Uitsluiting van aansprakelijkheid

De informatie in dit advies wordt geleverd 'in de huidige staat' zonder enige garantie. Microsoft wijst hierbij alle expliciete of impliciete garanties van de hand, met inbegrip van alle garanties betreffende de verhandelbaarheid en geschiktheid voor een bepaald doel. Voorzover maximaal is toegestaan op grond van toepasselijk recht zijn Microsoft Corporation en/of haar leveranciers in geen geval aansprakelijk voor enige directe, indirecte of incidentele schade, bijzondere schade, gevolgschade of schade ten gevolge van het verlies van winsten, zelfs als Microsoft Corporation of haar leveranciers van de mogelijkheid van dergelijke schade op de hoogte is gesteld. Aangezien sommige staten/rechtssystemen uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toestaan, is de voorgaande beperking wellicht niet op u van toepassing.

Revisies

  • V1.0 (14 september 2010): Advies gepubliceerd.

Built at 2014-04-18T01:50:00Z-07:00

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback
Weergeven:
© 2015 Microsoft