Microsoft Security Bulletin MS15-026 - Importante
Vulnerabilidades no Microsoft Exchange Server podem permitir elevação de privilégio (3040856)
Publicado em: 10 de março de 2015
Versão: 1.0
Resumo executivo
Esta atualização de segurança resolve vulnerabilidades no Microsoft Exchange Server. A mais grave das vulnerabilidades pode permitir a elevação de privilégio se um usuário clicar em uma URL especialmente criada que o levará a um site do Outlook Web App de destino. Um invasor não teria como forçar os usuários a visitar um site especialmente criado. Em vez disso, um invasor teria que convencê-los a visitar o site, geralmente fazendo com que eles cliquem em um link em um mensageiro instantâneo ou mensagem de email que os leve ao site do invasor e, em seguida, convencê-los a clicar na URL especialmente criada.
Esta atualização de segurança é classificada como Importante para todas as edições com suporte do Microsoft Exchange Server 2013. Para obter mais informações, consulte a seção Softwares afetados.
A atualização de segurança elimina as vulnerabilidades corrigindo como o Exchange Server limpa o conteúdo da página no Outlook Web App e corrigindo a maneira como o Exchange valida a autenticidade do organizador da reunião ao aceitar, agendar ou modificar solicitações de reunião em calendários do Exchange. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.
Para obter mais informações sobre este documento, consulte o artigo 3040856 da Base de Dados de Conhecimento Microsoft.
Softwares afetados
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
| Software | Impacto máximo na segurança | Classificação de gravidade agregada | Atualizações substituídas |
|---|---|---|---|
| Software de servidor da Microsoft | |||
| Microsoft Exchange Server 2013 Service Pack 1 (3040856) | Elevação de privilégio | Importante | Nenhum |
| Atualização cumulativa 7 do Microsoft Exchange Server 2013 (3040856) | Elevação de privilégio | Importante | Nenhum |
Perguntas frequentes sobre atualizações
**Esta atualização contém alguma alteração de funcionalidade não relacionada à segurança? ** Não, as Atualizações de Segurança do Exchange Server 2013 contêm apenas correções para o(s) problema(s) identificado(s) no boletim de segurança.
Classificações de gravidade e identificadores de vulnerabilidade
As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de março.
| Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado | ||||||
|---|---|---|---|---|---|---|
| Softwares afetados | Vulnerabilidade de script entre sites de parâmetro Canary modificado do OWA - CVE-2015-1628 | Vulnerabilidade de script entre sites do ExchangeDLP - CVE-2015-1629 | Vulnerabilidade de script entre sites do relatório de auditoria - CVE-2015-1630 | Vulnerabilidade de falsificação de solicitação de reunião forjada do Exchange - CVE-2015-1631 | Vulnerabilidade de script entre sites de mensagens de erro do Exchange - CVE-2015-1632 | Classificação de gravidade agregada |
| Software de servidor da Microsoft | ||||||
| Microsoft Exchange Server 2013 Service Pack 1 (3040856) | Importante elevação de privilégio | Importante elevação de privilégio | Importante elevação de privilégio | Falsificação importante | Importante elevação de privilégio | Importante |
| Atualização cumulativa 7 do Microsoft Exchange Server 2013 (3040856) | Importante elevação de privilégio | Importante elevação de privilégio | Importante elevação de privilégio | Falsificação importante | Importante elevação de privilégio | Importante |
Informações de vulnerabilidade
Várias vulnerabilidades do OWA XSS
Existem vulnerabilidades de elevação de privilégio quando o Microsoft Exchange Server não limpa corretamente o conteúdo da página no Outlook Web App. Um invasor pode explorar essas vulnerabilidades modificando determinadas propriedades no Outlook Web App e, em seguida, convencendo os usuários a navegar até o site do Outlook Web App de destino. O invasor que explorar com êxito essas vulnerabilidades poderá executar um script no contexto do usuário atual. O script poderia, por exemplo, usar a identidade da vítima para executar ações no site afetado do Outlook Web App em nome da vítima com as mesmas permissões que o usuário atual. Qualquer sistema usado para acessar uma versão afetada do Outlook Web App estaria potencialmente em risco de ataque. A atualização elimina as vulnerabilidades corrigindo como o Exchange Server limpa o conteúdo da página no Outlook Web App.
Para que essas vulnerabilidades sejam exploradas, um usuário deve clicar em uma URL especialmente criada que leva o usuário a um site do Outlook Web App de destino.
Em um cenário de ataque por email, um invasor pode explorar as vulnerabilidades enviando uma mensagem de email contendo a URL especialmente criada para o usuário do site do Outlook Web App de destino e convencendo-o a clicar na URL especialmente criada.
Num cenário de ataque baseado na Web, um intruso teria de alojar um Web site que contivesse um URL especialmente concebido para o efeito para o Web App Web App de destino utilizado para tentar explorar estas vulnerabilidades. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário podem conter conteúdo especialmente criado que pode explorar essas vulnerabilidades. Um invasor não teria como forçar os usuários a visitar um site especialmente criado. Em vez disso, um invasor teria que convencê-los a visitar o site, geralmente fazendo com que eles cliquem em um link em um mensageiro instantâneo ou mensagem de email que os leve ao site do invasor e, em seguida, convencê-los a clicar na URL especialmente criada.
A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:
| Título da vulnerabilidade | Número CVE | Divulgado publicamente | Explorado |
|---|---|---|---|
| Vulnerabilidade de script entre sites do parâmetro Canary modificado do OWA | CVE-2015-1628 | Não | Não |
| Vulnerabilidade de script entre sites do ExchangeDLP | CVE-2015-1629 | Não | Não |
| Vulnerabilidade de script entre sites do relatório de auditoria | CVE-2015-1630 | Não | Não |
| Vulnerabilidade de script entre sites de mensagens de erro do Exchange | CVE-2015-1632 | Não | Não |
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.
Soluções Alternativas
Solução alternativa para a vulnerabilidade de script entre sites do parâmetro Canary modificado do OWA - CVE-2015-1628
Usar um WAF (Web Application Firewall) para bloquear solicitações para
<host>/owa/?ae=Item&t;=AD.RecipientType.User&id;=<id>onde o cookie "X-OWA-Canary" contém uma aspa dupla ("), marcação HTML ou JavaScript.
Solução alternativa para a vulnerabilidade de script entre sites de mensagem de erro do Exchange - CVE-2015-1632
Usar um WAF (Web Application Firewall) para bloquear solicitações para</id></host><host>/errorfe.aspx?httpCode=500&ts;=130560784095001947&be;=DB4PR07MB0703&authError;=LiveConfigurationHRESULTException&msg;=GenericAuthErrorMessage&msgParam;=<param>onde o parâmetro de consulta "msgParam" contém um URI javascript.
Vulnerabilidade de falsificação de solicitação de reunião forjada do Exchange - CVE-2015-1631
Existe uma vulnerabilidade de falsificação no Exchange Server quando o Exchange não consegue validar corretamente a identidade do organizador da reunião ao aceitar ou modificar solicitações de reunião. O invasor que explorar com êxito essa vulnerabilidade poderá usá-la para agendar ou modificar reuniões enquanto parece ser originária de um organizador de reunião legítimo. Os clientes que usam versões afetadas do Exchange Server correm risco com essa vulnerabilidade. A atualização elimina a vulnerabilidade corrigindo a maneira como o Exchange valida a autenticidade do organizador da reunião ao aceitar, agendar ou modificar solicitações de reunião em calendários do Exchange.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Implantação de atualização de segurança
Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (10 de março de 2015): Boletim publicado.
Página gerada em 04/03/2015 13:08Z-08:00.