Microsoft Security Bulletin MS15-103 - Importante

Vulnerabilidades no Microsoft Exchange Server podem permitir a divulgação não autorizada de informações (3089250)

Publicado em: 8 de setembro de 2015

Versão: 1.0

Resumo executivo

Esta atualização de segurança resolve vulnerabilidades no Microsoft Exchange Server. A mais grave das vulnerabilidades pode permitir a divulgação não autorizada de informações se o Outlook Web Access (OWA) não conseguir lidar adequadamente com solicitações da Web e limpar a entrada do usuário e o conteúdo de email.

Esta atualização de segurança é classificada como Importante para todas as edições com suporte do Microsoft Exchange Server 2013. Para obter mais informações, consulte a seção Softwares afetados.

A atualização de segurança elimina as vulnerabilidades corrigindo como o Microsoft Exchange OWA lida com solicitações da Web e ajudando a garantir que o OWA limpe corretamente a entrada do usuário e o conteúdo de email. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3089250 da Base de Dados de Conhecimento Microsoft.

Softwares afetados

As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.

Software Impacto máximo na segurança Classificação de gravidade agregada Atualizações substituídas*
Software de servidor da Microsoft
Atualização cumulativa 8 do Microsoft Exchange Server 2013 (3087126) Divulgação de informações Importante 3062157 em MS15-064
Atualização cumulativa 9 do Microsoft Exchange Server 2013 (3087126) Divulgação de informações Importante 3062157 em MS15-064
Microsoft Exchange Server 2013 Service Pack 1 (3087126) Divulgação de informações Importante 3062157 em MS15-064

*A coluna Atualizações substituídas mostra apenas a atualização mais recente em qualquer cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas são fornecidas na guia Detalhes do Pacote).

Perguntas frequentes sobre atualizações

Esta atualização contém alguma alteração adicional de funcionalidade relacionada à segurança?
Além das alterações listadas para as vulnerabilidades descritas neste boletim, esta atualização inclui atualizações de defesa profunda para ajudar a melhorar os recursos relacionados à segurança.

Classificações de gravidade e identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de setembro.

Classificação de gravidade da vulnerabilidade e impacto máximo na segurança por software afetado
Softwares afetados Vulnerabilidade de divulgação não autorizada de informações do Exchange - CVE-2015-2505 Vulnerabilidade de falsificação do Exchange - CVE-2015-2543 Vulnerabilidade de falsificação do Exchange - CVE-2015-2544 Classificação de gravidade agregada
Software de servidor da Microsoft
Microsoft Exchange Server 2013 Service Pack 1 (3087126) Divulgação de Informações Importantes Não aplicável Falsificação importante Importante
Atualização cumulativa 8 do Microsoft Exchange Server 2013 (3087126) Divulgação de Informações Importantes Falsificação importante Falsificação importante Importante
Atualização cumulativa 9 do Microsoft Exchange Server 2013 (3087126) Divulgação de Informações Importantes Falsificação importante Falsificação importante Importante

 

Informações de vulnerabilidade

Vulnerabilidade de divulgação não autorizada de informações do Exchange - CVE-2015-2505

Existe uma vulnerabilidade de divulgação não autorizada de informações no Microsoft Exchange Server quando o Outlook Web Access (OWA) não consegue lidar corretamente com solicitações da Web. O invasor que explorar com êxito a vulnerabilidade poderá descobrir detalhes do stacktrace.

Para explorar a vulnerabilidade, um intruso teria de criar um pedido de aplicação Web especialmente concebido para o efeito e, em seguida, enviá-lo para uma aplicação Web. A atualização de segurança elimina a vulnerabilidade corrigindo como o Microsoft Exchange OWA lida com solicitações da Web.

A Microsoft recebeu informações sobre a vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi emitido, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.

Soluções Alternativas

A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.

Várias vulnerabilidades de falsificação do Exchange

Existem vulnerabilidades de falsificação no Microsoft Exchange Server quando o OWA não limpa corretamente emails especialmente criados. Um invasor autenticado pode explorar as vulnerabilidades enviando um email especialmente criado para um usuário. Um invasor pode então executar ataques de injeção de HTML em sistemas afetados e tentar enganar o usuário para que ele divulgue informações confidenciais.

Para explorar as vulnerabilidades, o usuário deve clicar em uma URL especialmente criada. Em um cenário de ataque por email, um invasor pode enviar uma mensagem de email contendo a URL especialmente criada para o usuário via OWA em uma tentativa de convencê-lo a clicar nela.

Em um cenário de ataque baseado na Web, um invasor pode hospedar um site mal-intencionado projetado para aparecer como um site legítimo para o usuário. No entanto, o invasor não teria como forçar o usuário a visitar o site mal-intencionado. O invasor teria que convencer o usuário a visitar o site mal-intencionado, geralmente atraindo o usuário a clicar em um link em um mensageiro instantâneo ou mensagem de email que leva o usuário ao site mal-intencionado do invasor e, em seguida, convencer o usuário a interagir com o conteúdo do site mal-intencionado.

A atualização de segurança elimina as vulnerabilidades, ajudando a garantir que o OWA limpe corretamente o conteúdo do email.

A tabela a seguir contém links para a entrada padrão de cada vulnerabilidade na lista Common Vulnerabilities and Exposures:

Título da vulnerabilidade Número CVE Divulgado publicamente Explorado
Vulnerabilidade de falsificação do Exchange CVE-2015-2543 Não Não
Vulnerabilidade de falsificação do Exchange CVE-2015-2544 Não Não

Fatores atenuantes

A Microsoft não identificou nenhum fator atenuante para essas vulnerabilidades.

Soluções Alternativas

A Microsoft não identificou nenhuma solução alternativa para essas vulnerabilidades.

Implantação de atualização de segurança

Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.

Agradecimentos

A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (8 de setembro de 2015): Boletim publicado.

Página gerada em 03/09/2015 17:14Z-07:00.