Boletim de Segurança da Microsoft MS14-075 - Importante
Vulnerabilidades no servidor do Microsoft Exchange podem permitir a elevação de privilégio (3009712)
Publicado em: 09 de dezembro de 2014 | Atualizado em: 12 de dezembro de 2014
Versão: 3.0
Esta atualização de segurança resolve quatro vulnerabilidades relatada de forma privada no servidor do Microsoft Exchange. A mais grave de todas permite elevação de privilégio se o usuário clicar em uma URL especialmente criada para enviá-lo a um site do Outlook Web App atingido. Não há como um invasor forçar usuários a visitar o site especialmente criado. Em vez disso, o invasor teria de persuadir os usuários a visitar o site, geralmente fazendo-os clicar em um link em um email ou em uma mensagem do Instant Messenger que leve os usuários ao site do invasor, e então convencê-los a clicar em uma URL especialmente criada para isso.
Esta atualização de segurança é classificada como Importante para todas as edições suportadas do Microsoft Exchange Server 2007, do Microsoft Exchange Server 2010 e do Microsoft Exchange Server 2013. Para obter mais informações, consulte a seção Software Afetado.
A atualização de segurança sana as vulnerabilidades ao fazer com que o Outlook Web App valide adequadamente os tokens de solicitação e que as URLs sejam limpas corretamente. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.
Para obter mais informações sobre este documento, consulte o artigo 3009712 da Base de Dados de Conhecimento da Microsoft.
As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte Microsoft.
|
Software |
Impacto máximo à segurança |
Avaliação de gravidade agregada |
Atualizações substituídas |
|
Microsoft Server Software | |||
|
Elevação de privilégio |
Importante |
2903911 no MS13-105 | |
|
Elevação de privilégio |
Importante |
2905616 no MS13-105 | |
|
Elevação de privilégio |
Importante |
Nenhuma | |
|
Atualização Cumulativa 6 do Microsoft Exchange Server 2013 |
Elevação de privilégio |
Importante |
Nenhuma |
Esta atualização contém alguma atualização relacionada à falta de segurança desta funcionalidade?
Não. As atualizações de segurança do Exchange Server 2013 contêm somente correções para os problemas identificados no boletim de segurança.
Pacotes cumulativos de atualizações para Exchange Server 2007 e Exchange Server 2010 pode conter novas correções adicionais. Os clientes que não permaneceram atualizados em sua implantação de pacotes cumulativos de atualizações podem presenciar novos recursos com a aplicação dessa atualização.
As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de Exploração no Resumo de boletins de dezembro.
|
A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado | |||||
|
Software afetado |
Vulnerabilidade de falsificação de token no Outlook Web App - CVE-2014-6319 |
Vulnerabilidade de redirecionamento de URL no Exchange - CVE-2014-6336 |
Avaliação de gravidade agregada | ||
|
Microsoft Server Software | |||||
|
Microsoft Exchange Server 2007 Service Pack 3 |
Importante
|
Não Aplicável |
Não Aplicável |
Não Aplicável |
Importante |
|
Microsoft Exchange Server 2010 Service Pack 3 |
Importante
|
Não Aplicável |
Não Aplicável |
Não Aplicável |
Importante |
|
Microsoft Exchange Server 2013 Service Pack 1 |
Importante
|
Importante
|
Importante
|
Importante
|
Importante |
|
Atualização Cumulativa 6 do Microsoft Exchange Server 2013 |
Importante
|
Importante
|
Importante
|
Importante
|
Importante |
Vulnerabilidade de falsificação de token no Outlook Web App - CVE-2014-6319
A vulnerabilidade de falsificação de token no Exchange Server ocorre quando o Microsoft Outlook Web App (OWA) não valida corretamente um token de solicitação. Um invasor que explorou com êxito esta vulnerabilidade pode usar a vulnerabilidade para enviar email que parece vir de um outro usuário além de um invasor (por exemplo, de uma fonte confiável). Consumidores que acessam o email do Exchange Server através do Outlook Web App são os que correm maior risco com essa vulnerabilidade. A atualização aborda a vulnerabilidade ao fazer com que o Outlook Web App valide corretamente os tokens de solicitação.
A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft ainda não tinha recebido informações que indicassem que a vulnerabilidade tinha sido usada de forma pública para atacar consumidores. A atualização aborda a vulnerabilidade ao fazer com que o Outlook Web App valide corretamente os tokens de solicitação.
Fatores atenuantes
Os seguintes fatores atenuantes podem ser úteis no seu caso:
- No cenário de ataque pela Web, o invasor pode hospedar um site que contenha um arquivo usado para explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente criado que pode explorar esta vulnerabilidade. Em todos os casos, entretanto, o invasor não tem como forçar os usuários a exibir o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que persuadir os usuários a realizar uma ação, geralmente fazendo com que eles cliquem em um link em um email ou mensagem do Instant Messenger que leva o usuário ao site do invasor.
Soluções alternativas
A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.
Múltiplas vulnerabilidades de OWA XSS
A elevação de vulnerabilidades de privilégio ocorre quando o Microsoft Exchange Server não valida entradas corretamente. Um invasor que consiga explorar a vulnerabilidade pode executar um script no contexto de segurança do usuário atual. Um invasor pode, por exemplo, ler um conteúdo que o invasor não estaria autorizado a ler, usar a identidade da vítima para agir no site do Outlook Web App em nome dela, mudando permissões, apagando dados e injetando conteúdo malicioso no navegador invadido. Qualquer sistema usado para acessar uma versão afetada do Outlook Web App está potencialmente vulnerável a ataques. A atualização aborda as vulnerabilidades, garantindo que as URLs sejam adequadamente limpas.
Para que ele consiga fazer isso, o usuário deve clicar em uma URL especialmente criada, que o leva a um site do Outlook Web App atingido.
Em um cenário de ataque por email, o invasor pode explorar as vulnerabilidades enviando ao usuário do site do Outlook Web App atingido uma mensagem que contenha a URL especialmente criada, cujo objetivo é convencê-lo a clicar nessa URL.
Em um cenário de ataque com base na Web, o invasor teria que hospedar um site que contenha uma URL especialmente criada para o site do Outlook Web App atingido e que seja usada para explorar essas vulnerabilidades. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar essas vulnerabilidades. Não há como um invasor forçar usuários a visitar o site especialmente criado. Em vez disso, o invasor teria de persuadir os usuários a visitar o site, geralmente fazendo-os clicar em um link em um email ou em uma mensagem do Instant Messenger que leve os usuários ao site do invasor, e então convencê-los a clicar em uma URL especialmente criada para isso.
A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:
|
Título da vulnerabilidade |
Número de CVE |
Divulgadas de forma pública |
Explorado |
|
Vulnerabilidade de XSS do OWA |
Não |
Não | |
|
Vulnerabilidade de XSS do OWA |
Não |
Não |
Fatores atenuantes
A Microsoft não identificou quaisquer fatores atenuantes para essas vulnerabilidades.
Soluções alternativas
A Microsoft não identificou quaisquer soluções temporárias para essas vulnerabilidades.
Vulnerabilidade de redirecionamento de URL no Exchange - CVE-2014-6336
A vulnerabilidade de falsificação de token no Exchange Server ocorre quando o Microsoft Outlook Web App (OWA) não valida corretamente tokens de redirecionamento. Um invasor que consiga explorar a vulnerabilidade pode redirecionar o usuário para um domínio arbitrário a partir de um link que pareça ter sido originado no domínio do usuário. Um invasor pode usar a vulnerabilidade para enviar um email que pareça vir de outro usuário. Consumidores que acessam o email do Exchange Server através do Outlook Web App são os que correm maior risco com essa vulnerabilidade. A atualização elimina a vulnerabilidade, garantindo que as URLs sejam adequadamente limpas.
A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft ainda não tinha recebido informações que indicassem que a vulnerabilidade tinha sido usada de forma pública para atacar consumidores. A atualização elimina a vulnerabilidade, garantindo que as URLs sejam adequadamente limpas.
Fatores atenuantes
Os seguintes fatores atenuantes podem ser úteis no seu caso:
- Para gerar o link malicioso, o invasor já deve ser um usuário Exchange autenticado, capaz de enviar mensagens de email.
- O link malicioso pode ser enviado por email, mas o invasor precisa convencer o usuário a abri-lo para conseguir explorar a vulnerabilidade.
Soluções alternativas
A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.
Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de dados de conhecimento da Microsoft mencionado aqui no Resumo executivo.
A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.
- V1.0 (9 de dezembro de 2014): Boletim publicado.
- V2.0 (10 de dezembro de 2014): Boletim de segurança para remover o link da Central de Download para a atualização de segurança da Microsoft 2986475 para o Microsoft Exchange Server 2010 Service Pack 3 para abordar um problema conhecido com a atualização. A Microsoft está trabalhando para resolver o problema e atualizará esse boletim quando mais informações estiverem disponíveis. A Microsoft removeu a atualização 2986475 e recomenda que os clientes desinstalem a atualização 2986475 se já estiver instalada.
- V3.0 (12 de dezembro de 2014): Lançado novamente o boletim para anunciar a nova oferta da atualização de segurança 2986475 da Microsoft para o Microsoft Exchange Server 2010 Service Pack 3. A atualização lançada novamente aborda um problema conhecido na oferta original. Os clientes que instalaram a atualização original deve instalar a versão atualizada do 2986475 na oportunidade mais recente.
