Microsoft Security Bulletin MS15-064 - Importante
Vulnerabilidades no Microsoft Exchange Server podem permitir elevação de privilégio (3062157)
Publicado em: 9 de junho de 2015
Versão: 1.0
Resumo executivo
Esta atualização de segurança resolve vulnerabilidades no Microsoft Exchange Server. A mais grave das vulnerabilidades pode permitir a elevação de privilégio se um usuário autenticado clicar em um link para uma página da Web especialmente criada. Um invasor não teria como forçar os usuários a visitar o site. Em vez disso, um invasor teria que convencer os usuários a clicar em um link, geralmente por meio de um aliciamento em um email ou mensagem do Instant Messenger.
Esta atualização de segurança é classificada como Importante para todas as edições com suporte do Microsoft Exchange Server 2013. Para obter mais informações, consulte a seção Softwares afetados.
A atualização de segurança elimina as vulnerabilidades:
- Modificando como os aplicativos Web do Exchange gerenciam a diretiva de mesma origem
- Modificando como os aplicativos Web do Exchange gerenciam a autenticação de sessão do usuário
- Corrigindo como os aplicativos Web do Exchange limpam cadeias de caracteres HTML
Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.
Para obter mais informações sobre este documento, consulte o artigo 3062157 da Base de Dados de Conhecimento Microsoft.
Softwares afetados
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
| Software | Impacto máximo na segurança | Classificação de gravidade agregada | Atualizações substituídas |
|---|---|---|---|
| Software de servidor da Microsoft | |||
| Microsoft Exchange Server 2013 Service Pack 1 (3062157) | Elevação de privilégio | Importante | Nenhum |
| Atualização cumulativa 8 do Microsoft Exchange Server 2013 (3062157) | Elevação de privilégio | Importante | Nenhum |
Perguntas frequentes sobre atualizações
Esta atualização contém alguma alteração de funcionalidade não relacionada à segurança?
Não, as Atualizações de Segurança do Exchange Server 2013 contêm apenas correções para o(s) problema(s) identificado(s) no boletim de segurança.
Classificações de gravidade e identificadores de vulnerabilidade
As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de junho.
| Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado | ||||
|---|---|---|---|---|
| Softwares afetados | Vulnerabilidade de falsificação de solicitação do Exchange Server - CVE-2015-1764 | Vulnerabilidade de falsificação de solicitação entre sites do Exchange - CVE-2015-1771 | Vulnerabilidade de injeção de HTML do Exchange - CVE-2015-2359 | Classificação de gravidade agregada |
| Software de servidor da Microsoft | ||||
| Microsoft Exchange Server 2013 Service Pack 1 (3062157) | Divulgação de Informações Importantes | Importanteelevação de privilégio | Não aplicável | Importante |
| Atualização cumulativa 8 do Microsoft Exchange Server 2013 (3062157) | Divulgação de Informações Importantes | Importanteelevação de privilégio | Divulgação de Informações Importantes | Importante |
Informações de vulnerabilidade
Vulnerabilidade de falsificação de solicitação do Exchange Server - CVE-2015-1764
Existe uma vulnerabilidade de divulgação não autorizada de informações em aplicativos Web do Microsoft Exchange quando o Exchange não gerencia corretamente a diretiva de mesma origem. Um invasor pode explorar essa vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) usando uma solicitação de aplicativo Web especialmente criada. O invasor que explorar com êxito essa vulnerabilidade poderá:
- Verificar e atacar sistemas atrás de um firewall que normalmente são inacessíveis do mundo exterior
- Enumerar e atacar serviços que estão sendo executados nesses sistemas host
- Explorar serviços de autenticação baseados em host
Os aplicativos Web do Exchange são os que mais correm risco com essa vulnerabilidade. A atualização elimina a vulnerabilidade modificando como os aplicativos Web do Exchange gerenciam a diretiva de mesma origem.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Vulnerabilidade de falsificação de solicitação entre sites do Exchange - CVE-2015-1771
Existe uma vulnerabilidade de elevação de privilégio nos aplicativos Web do Microsoft Exchange quando o Exchange não gerencia corretamente as sessões do usuário. Para que essa vulnerabilidade de falsificação de solicitação entre sites (CSRF/XSRF) seja explorada, a vítima deve ser autenticada (conectada) ao site de destino.
Em um cenário de ataque baseado na Web, um invasor pode hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) que contém uma página da Web especialmente criada projetada para explorar a vulnerabilidade. Um invasor não teria como forçar os usuários a visitar o site. Em vez disso, um invasor teria que convencer os usuários a clicar em um link, geralmente por meio de um aliciamento em um email ou mensagem do Instant Messenger. O invasor que explorar com êxito essa vulnerabilidade poderá ler conteúdo que o invasor não está autorizado a ler, usar a identidade da vítima para executar ações no aplicativo Web em nome da vítima, como alterar permissões e excluir conteúdo, e injetar conteúdo mal-intencionado no navegador da vítima.
Os aplicativos Web do Exchange são os que mais correm risco com essa vulnerabilidade. A atualização elimina a vulnerabilidade modificando como os aplicativos Web do Exchange gerenciam a autenticação de sessão do usuário.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Vulnerabilidade de injeção de HTML do Exchange - CVE-2015-2359
Existe uma vulnerabilidade de divulgação não autorizada de informações em aplicativos Web do Microsoft Exchange quando o Exchange não limpa corretamente cadeias de caracteres HTML. Para explorar essa vulnerabilidade de injeção de HTML, um invasor deve ter a capacidade de enviar um script especialmente criado para um site de destino que usa limpeza de HTML. Onde a vulnerabilidade existe, em situações específicas, o script especialmente criado não é devidamente higienizado. O script fornecido pelo invasor pode então ser executado no contexto de segurança de um usuário que exibe o conteúdo mal-intencionado.
Para ataques de injeção de HTML, essa vulnerabilidade requer que um usuário esteja visitando um site comprometido para que qualquer ação mal-intencionada ocorra. Por exemplo, depois que um invasor envia com êxito um script especialmente criado para um site de destino que usa limpeza de HTML, qualquer página da Web nesse site que contenha o script especialmente criado é um vetor potencial para ataques persistentes de script entre sites. Quando um usuário visita uma página da Web que contém o script especialmente criado, o script pode ser executado no contexto de segurança do usuário.
Os sistemas em que os usuários se conectam a um site que limpa cadeias de caracteres HTML, como estações de trabalho ou servidores de terminal, são os que correm mais risco. A atualização elimina a vulnerabilidade corrigindo como os aplicativos Web do Exchange limpam cadeias de caracteres HTML.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Implantação de atualização de segurança
Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (9 de junho de 2015): Boletim publicado.
Página gerada em 03/06/2015 12:16Z-07:00.