Aviso de Segurança da Microsoft 2401593

Vulnerabilidade no Outlook Web Access Poderia Permitir Elevação de Privilégios

Data de publicação: 14 de setembro de 2010

actualizada: 1.0

Informações Gerais

Resumo Executivo

A Microsoft concluiu a investigação de uma vulnerabilidade divulgada publicamente no Outlook Web Access (OWA) que pode afectar clientes do Microsoft Exchange. Um intruso que explorasse com sucesso esta vulnerabilidade poderia assumir o controlo de uma sessão OWA autenticada. O intruso poderia executar acções em nome do utilizador autenticado sem o conhecimento do mesmo, dentro do contexto de segurança da sessão OWA activa.

Esta vulnerabilidade afecta edições suportadas do Microsoft Exchange Server 2003 e Microsoft Exchange Server 2007 (excepto Microsoft Exchange Server 2007 Service Pack 3). O Microsoft Exchange Server 2000, Microsoft Exchange Server 2007 Service Pack 3 e Microsoft Exchange Server 2010 não são afectados pela vulnerabilidade. Para mais informações, consulte a secção Software Afectado e Software Não Afectado.

A Microsoft recomenda que os clientes que executam edições afectadas do Microsoft Exchange Server façam a actualização para uma versão não afectada do Microsoft Exchange Server para resolver a vulnerabilidade. Os clientes que não puderem fazer a actualização neste momento podem consultar a secção Soluções Alternativas para verificarem que opções podem ajudar a limitar a forma como um intruso pode explorar a vulnerabilidade.

Neste momento, não temos conhecimento de quaisquer ataques que tentem explorar esta vulnerabilidade. Continuaremos a monitorizar o ambiente de ameaça e actualizaremos este aviso caso haja alterações a esta situação.

Detalhes do Aviso

Referências da Questão

Para mais informações sobre esta questão, consulte as seguintes referências:

ReferênciasIdentificação
Referência CVE CVE-2010-3213

Software Afectado e Software Não Afectado

Este aviso abrange o seguinte software.

Software Afectado
Microsoft Exchange Server 2003 Service Pack 2
Microsoft Exchange Server 2007 Service Pack 1
Microsoft Exchange Server 2007 Service Pack 2
Software Não Afectado
Microsoft Exchange Server 2000 Service Pack 3
Microsoft Exchange Server 2007 Service Pack 3
Microsoft Exchange Server 2010
Microsoft Exchange Server 2010 Service Pack 1

Qual é a abrangência deste aviso?  
A Microsoft tem conhecimento de um novo relatório de vulnerabilidade que afecta o Outlook Web Access (OWA) para o Microsoft Exchange Server. A vulnerabilidade afecta o software listado na secção Software Afectado.

O que é o Exchange Outlook Web Access (OWA)?  
O Outlook Web Access (OWA) é um serviço de correio na Web do Microsoft Exchange Server 5.0 e posteriores. A interface Web do Outlook Web Access é semelhante à interface no Microsoft Outlook. O Outlook Web Access é fornecido como parte do Microsoft Exchange Server.

O que provoca esta ameaça?  
Em determinadas circunstâncias, uma sessão OWA autenticada pode ser controlada por intruso, que executa acções em nome do utilizador sem o conhecimento do mesmo.

O que poderia um intruso fazer depois de explorar a vulnerabilidade?  
Um intruso que explorasse esta vulnerabilidade com sucesso poderia executar acções em nome do utilizador autenticado no contexto de segurança da sessão OWA activa, tais como ler mensagens de correio electrónico, adicionar novas regras à caixa de entrada ou alterar as preferências de utilizador OWA.

Como poderia um intruso explorar a vulnerabilidade?  
Um intruso poderia explorar esta vulnerabilidade convencendo um utilizador específico a visitar uma página da Web maliciosa, durante uma sessão OWA activa, que o intruso concebeu especificamente para o domínio Exchange visado.

Por que razão não há uma actualização de segurança para resolver esta vulnerabilidade?  
Não há uma actualização de segurança disponível, porque resolver a vulnerabilidade requereria uma alteração de concepção para implementar uma nova estrutura de verificação de pedido http para o OWA para ajudar a prevenir que um intruso assuma o controlo de uma sessão de utilizador OWA. A Microsoft determinou que introduzir uma alteração de concepção desta natureza nas versões afectadas do Microsoft Exchange Server poderia provocar um risco demasiado elevado de desestabilizar e afectar ambientes de cliente.

O que faço se estiver a utilizar versões do produto para as quais não há actualizações disponíveis?  
Os administradores que executam edições afectadas do Microsoft Exchange Server devem fazer a actualização para uma versão não afectada do Microsoft Exchange Server. O Microsoft Exchange Server 2007 Service Pack 3 e o Microsoft Exchange Server 2010 não são afectados pela vulnerabilidade.

Os administradores que não puderem fazer a actualização neste momento podem consultar a secção Soluções Alternativas para verificarem que opções podem ajudar a limitar a forma como um intruso pode explorar a vulnerabilidade.

Estou a usar uma edição anterior do software discutido neste aviso de segurança. O que devo fazer?  
O software afectado incluído neste aviso foi testado para determinar quais as edições afectadas. As outras edições ultrapassaram o respectivo ciclo de vida de suporte. Para mais informações sobre o ciclo de vida dos produtos, visite o Web site do Ciclo de Vida de Suporte da Microsoft.

Os utilizadores que tenham edições anteriores do software deviam considerar a migração para edições suportadas como uma prioridade, de modo a poderem proteger os seus sistemas contra a potencial exposição a vulnerabilidades. Para determinar o ciclo de vida de suporte para a edição do seu software, consulte Seleccionar um produto para obter informações sobre o ciclo de vida. Para mais informações sobre service packs para estas edições de software, consulte Service Packs com Suporte do Ciclo de Vida.

Os clientes que necessitem de suporte personalizado para software anterior devem contactar o seu representante de equipa de contas da Microsoft, o seu Gestor Técnico de Contas ou o parceiro ou representante Microsoft adequado para mais informações sobre opções de suporte personalizado. Os clientes que não disponham de um Contrato Alliance, Premier ou Autorizado podem contactar a subsidiária local da Microsoft. Para obter informações de contacto, visite o Web site Microsoft Worldwide Information, seleccione o país na lista de informações de contacto e, em seguida, clique em Go para ver uma lista de números de telefone. Quando telefonar, peça para falar com o Gestor de Vendas de Suporte Premier local. Para mais informações, consulte as Perguntas Mais Frequentes sobre o Ciclo de Vida do Suporte da Microsoft.

Factores Atenuantes

A atenuação refere-se a uma definição, uma configuração comum ou uma prática recomendada geral, que existe num estado predefinido, que poderia reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes factores atenuantes podem ser úteis para a sua situação:

  • No cenário de um ataque baseado na Web, um intruso poderia alojar um Web site contendo uma página Web que fosse utilizada para explorar esta vulnerabilidade. Além disso, os Web sites afectados e os Web sites que aceitam ou alojam conteúdos ou anúncios fornecidos por utilizadores poderiam conter conteúdos especialmente concebidos que poderiam explorar esta vulnerabilidade. Contudo, em qualquer dos casos, o intruso não teria forma de forçar os utilizadores a visitar estes Web sites. Em vez disso, um intruso teria de convencer os utilizadores a visitar o Web site, levando-os normalmente a clicar numa hiperligação presente numa mensagem de correio electrónico, ou num programa de mensagens instantâneas, que levasse o utilizador para o Web site do intruso.

Soluções alternativas

As seguintes soluções alternativas referem-se a uma alteração de definição ou configuração que não corrige a questão subjacente, mas que ajudaria a limitar o que um intruso poderia fazer com a vulnerabilidade.

Nota Estas soluções alternativas não bloqueiam vectores de ataque conhecidos, mas ajudam a limitar a forma como um intruso pode explorar a vulnerabilidade, desactivando selectivamente a funcionalidade.

  • Desactivar regras utilizando segmentação

    A segmentação pode ser executada com base numa utilização por servidor para alterar a funcionalidade do Outlook Web Access. Para impedir os intrusos de explorar determinadas funcionalidades no Outlook Web Access, os administradores podem seleccionar implementar segmentação para desactivar selectivamente as funcionalidades.

    Para informações sobre como desactivar regras utilizando segmentação no Microsoft Exchange Server 2007, consulte o artigo TechNet, Como Gerir Segmentação no Outlook Web Access.

    Para informações sobre como desactivar regras utilizando segmentação no Microsoft Exchange Server 2003, consulte o Artigo 833340 da Base de Dados de Conhecimento da Microsoft.

    Impacto da solução alternativa. Desactivar regras impedirá que um intruso modifique as regras do utilizador através do OWA, impedindo exfiltração de dados. No entanto, um intruso poderia ainda modificar as opções de um utilizador. Depois de implementar esta solução alternativa, os utilizadores deixarão de poder criar ou actualizar regras utilizando o OWA. As regras existentes continuarão a funcionar. O impacto desta solução alternativa afecta apenas a funcionalidade no Outlook Web Access, não num cliente Outlook.

  • Desactivar o painel de opções utilizando o UrlScan

    Implementar esta solução alternativa impedirá um intruso de conseguir ver ou modificar quaisquer opções do Exchange através do OWA, impedindo a maior parte dos ataques conhecidos contra a vulnerabilidade descrita neste aviso.

    Para informações sobre como desactivar o painel de opções utilizando o UrlScan, consulte o Artigo 2299129 da Base de Dados de Conhecimento da Microsoft.

    Impacto da solução alternativa. Os utilizadores deixarão de poder modificar opções do Exchange utilizando o OWA. Desactivar as opções também desactiva regras, como descrito acima. O impacto desta solução alternativa afecta apenas a funcionalidade no Outlook Web Access, não num cliente Outlook.

Outras Acções Sugeridas

  • Fazer a actualização para uma versão não afectada do Microsoft Exchange Server

    A Microsoft recomenda que os clientes que executam edições afectadas do Microsoft Exchange Server façam a actualização para uma versão não afectada do Microsoft Exchange Server para resolver a vulnerabilidade. O Microsoft Exchange Server 2007 Service Pack 3 e o Microsoft Exchange Server 2010 não são afectados pela vulnerabilidade.

  • Manter o Windows actualizado

    Todos os utilizadores do Windows devem aplicar as actualizações de segurança da Microsoft mais recentes para ajudar a garantir que os seus computadores estão o mais protegidos possível. Se não tiver a certeza se o seu software está actualizado, visite o Windows Update, procure actualizações disponíveis para o seu computador e instale todas as actualizações de prioridade elevada que lhe são oferecidas. Se tiver as Actualizações Automáticas activadas, as actualizações ser-lhe-ão entregues quando são lançadas, mas tem de se certificar de que as instala.

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as protecções de segurança dos clientes, a Microsoft fornece informações sobre as vulnerabilidades aos principais fornecedores de software de segurança antes de cada publicação mensal de actualizações de segurança. Os fornecedores de software de segurança podem então utilizar estas informações sobre as vulnerabilidades para assegurar protecções actualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de detecção de intrusos com base na rede ou sistemas de prevenção de intrusões com base no anfitrião. Para determinar se as protecções activas estão disponíveis nos fornecedores de software de segurança, visite os Web sites de protecções activas disponibilizados pelos parceiros do programa, indicados na lista de parceiros do Microsoft Active Protections Program (MAPP).

Feedback

Assistência

  • Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico através do Suporte de Segurança. Para obter mais informações sobre opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. Para mais informações sobre como contactar a Microsoft relativamente a questões de suporte internacional, visite o Web site de Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Exclusão de garantia

As informações fornecidas neste aviso são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation, ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.

Revisões

  • V1.0 (14 de Setembro de 2010): Aviso publicado.

Built at 2014-04-18T01:50:00Z-07:00

Mostrar: