Microsoft Security Bulletin MS16-010 - Importante
Atualização de segurança no Microsoft Exchange Server para corrigir falsificação (3124557)
Publicado em: 12 de janeiro de 2016
Versão: 1.0
Resumo executivo
Esta atualização de segurança resolve vulnerabilidades no Microsoft Exchange Server. A mais grave das vulnerabilidades pode permitir falsificação se o Outlook Web Access (OWA) não conseguir lidar adequadamente com solicitações da Web e limpar a entrada do usuário e o conteúdo de email.
Esta atualização de segurança é classificada como Importante para todas as edições com suporte do Microsoft Exchange Server 2013 e Microsoft Exchange Server 2016. Para obter mais informações, consulte a seção Softwares afetados.
A atualização de segurança elimina as vulnerabilidades corrigindo como o Microsoft Exchange OWA valida solicitações da Web e ajudando a garantir que o OWA limpe corretamente a entrada do usuário e o conteúdo de email. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.
Para obter mais informações sobre essa atualização, consulte o artigo 3124557 da Base de Dados de Conhecimento Microsoft.
Softwares afetados
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
| Software | Impacto máximo na segurança | Classificação de gravidade agregada | Atualizações substituídas* |
|---|---|---|---|
| Software de servidor da Microsoft | |||
| Microsoft Exchange Server 2013 Service Pack 1 (3124557) | Falsificação | Importante | 3087126 no boletim MS15-103 |
| Atualização cumulativa 10 do Microsoft Exchange Server 2013 (3124557) | Falsificação | Importante | Nenhum |
| Atualização cumulativa 11 do Microsoft Exchange Server 2013 (3124557) | Falsificação | Importante | Nenhum |
| Microsoft Exchange Server 2016 (3124557) | Falsificação | Importante | Nenhum |
*A coluna Atualizações substituídas mostra apenas a atualização mais recente em qualquer cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas são fornecidas na guia Detalhes do Pacote).
Classificações de gravidade e identificadores de vulnerabilidade
As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de janeiro.
| Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado | |||||
|---|---|---|---|---|---|
| Softwares afetados | Vulnerabilidade de falsificação do Exchange - CVE-2016-0029 | Vulnerabilidade de falsificação do Exchange - CVE-2016-0030 | Vulnerabilidade de falsificação do Exchange - CVE-2016-0031 | Vulnerabilidade de falsificação do Exchange - CVE-2016-0032 | Classificação de gravidade agregada |
| Software de servidor da Microsoft | |||||
| Microsoft Exchange Server 2013 Service Pack 1 (3124557) | Não aplicável | Falsificação importante | Não aplicável | Falsificação importante | Importante |
| Atualização cumulativa 10 do Microsoft Exchange Server 2013 (3124557) | Não aplicável | Falsificação importante | Não aplicável | Falsificação importante | Importante |
| Atualização cumulativa 11 do Microsoft Exchange Server 2013 (3124557) | Não aplicável | Não aplicável | Não aplicável | Falsificação importante | Importante |
| Microsoft Exchange Server 2016 (3124557) | Falsificação importante | Falsificação importante | Falsificação importante | Falsificação importante | Importante |
Informações de vulnerabilidade
Várias vulnerabilidades de falsificação do Exchange
Existem várias vulnerabilidades de falsificação no Microsoft Exchange Server quando o Outlook Web Access (OWA) não consegue lidar corretamente com solicitações da Web. Um invasor que explorar com êxito as vulnerabilidades poderá executar ataques de script ou injeção de conteúdo e tentar enganar o usuário para que ele divulgue informações confidenciais. Um invasor também pode redirecionar o usuário para um site mal-intencionado que pode falsificar conteúdo ou ser usado como um pivô para encadear um ataque com outras vulnerabilidades em serviços Web.
Para explorar as vulnerabilidades, um invasor pode enviar um email especialmente criado contendo um link mal-intencionado para um usuário. Um invasor também pode usar um cliente de bate-papo para que um usuário clique no link mal-intencionado. No entanto, em ambos os exemplos, o usuário deve clicar no link malicioso. A atualização de segurança elimina as vulnerabilidades corrigindo como o OWA valida solicitações da Web.
A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:
| Título da vulnerabilidade | Número CVE | Divulgado publicamente | Explorado |
|---|---|---|---|
| Vulnerabilidade de falsificação do Exchange | CVE-2016-0029 | Não | Não |
| Vulnerabilidade de falsificação do Exchange | CVE-2016-0030 | Não | Não |
| Vulnerabilidade de falsificação do Exchange | CVE-2016-0031 | Não | Não |
| Vulnerabilidade de falsificação do Exchange | CVE-2016-0032 | Não | Não |
Fatores atenuantes
Os seguintes fatores atenuantes podem ser úteis em sua situação:
- Para gerar o link mal-intencionado, um invasor já deve ser um usuário autenticado do Microsoft Exchange e ser capaz de enviar mensagens de email.
- O link mal-intencionado pode ser enviado por e-mail, mas o invasor teria que convencer um usuário a abrir o link para explorar a vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Implantação de atualização de segurança
Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado aqui no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (12 de janeiro de 2015): Boletim publicado.
Página gerada em 22/03/2016 12:35-07:00.