Microsoft 安全公告 MS15-064 - 重要提示

Microsoft Exchange Server 中的漏洞可能允许提升权限(3062157)

发布时间: 2015 年 6 月 9 日

版本: 1.0

执行摘要

此安全更新可解决 Microsoft Exchange Server 中的漏洞。 如果经过身份验证的用户单击特制网页的链接,则最严重的漏洞可能会允许提升特权。 攻击者无法强制用户访问该网站。 相反,攻击者必须说服用户单击链接,通常是通过电子邮件或即时信使消息中的诱因。

对于所有受支持的 Microsoft Exchange Server 2013 版本,此安全更新都被评为“重要”。 有关详细信息,请参阅 “受影响的软件 ”部分。

安全更新通过以下方式解决漏洞:

  • 修改 Exchange Web 应用程序管理同源策略的方式
  • 修改 Exchange Web 应用程序如何管理用户会话身份验证
  • 更正 Exchange Web 应用程序如何清理 HTML 字符串

有关漏洞的详细信息,请参阅 “漏洞信息 ”部分。

有关本文档的详细信息,请参阅 Microsoft 知识库文章3062157

 

受影响的软件

以下软件版本或版本受到影响。 未列出的版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期

软件 最大安全影响 聚合严重性分级 已替换汇报
Microsoft Server Software
Microsoft Exchange Server 2013 Service Pack 1 (3062157) 权限提升 重要
Microsoft Exchange Server 2013 累积更新 8 (3062157) 权限提升 重要

 

更新常见问题解答

此更新是否包含对功能的任何非安全相关更改?
否,Exchange Server 2013 安全汇报仅包含安全公告中标识的问题修补程序。

严重性分级和漏洞标识符

以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布后 30 天内漏洞的可利用性及其严重性评级和安全影响的信息,请参阅 6 月公告摘要中的“可利用性索引”。

受影响的软件的漏洞严重性分级和最大安全影响
受影响的软件 Exchange 服务器端请求伪造漏洞 - CVE-2015-1764 Exchange 跨站点请求伪造漏洞 - CVE-2015-1771 Exchange HTML 注入漏洞 - CVE-2015-2359 聚合严重性分级
Microsoft Server Software
Microsoft Exchange Server 2013 Service Pack 1 (3062157) 重要信息披露 重要特权提升 不适用 重要说明 
Microsoft Exchange Server 2013 累积更新 8 (3062157) 重要信息披露 重要特权提升 重要信息披露 重要说明 

 

漏洞信息

Exchange 服务器端请求伪造漏洞 - CVE-2015-1764

当 Exchange 未正确管理同源策略时,Microsoft Exchange Web 应用程序中存在信息泄露漏洞。 攻击者可以使用特制的 Web 应用程序请求来利用此 服务器端请求伪造(SSRF) 漏洞。 然后,成功利用此漏洞的攻击者可以:

  • 扫描和攻击防火墙后面的系统,通常无法从外部世界访问
  • 枚举和攻击在这些主机系统上运行的服务
  • 利用基于主机的身份验证服务

Exchange Web 应用程序主要面临此漏洞的风险。 更新通过修改 Exchange Web 应用程序管理同源策略来解决漏洞。

Microsoft 通过协调的漏洞泄露收到了有关此漏洞的信息。 发布此安全公告时,Microsoft 未收到任何信息,表明此漏洞已公开用于攻击客户。

缓解因素

Microsoft 尚未识别此漏洞的任何 缓解因素

解决方法

Microsoft 尚未识别此漏洞的任何 解决方法

Exchange 跨站点请求伪造漏洞 - CVE-2015-1771

Exchange 未正确管理用户会话时,Microsoft Exchange Web 应用程序中存在特权提升漏洞。 要利用此 跨站点请求伪造(CSRF/XSRF) 漏洞,必须向目标站点(登录)对受害者进行身份验证。

在基于 Web 的攻击方案中,攻击者可以托管网站(或利用接受或托管用户提供的内容)的网站,其中包含专门制作的网页,旨在利用漏洞。 攻击者无法强制用户访问该网站。 相反,攻击者必须说服用户单击链接,通常是通过电子邮件或即时信使消息中的诱因。 成功利用此漏洞的攻击者可以读取攻击者无权读取的内容、使用受害者的身份代表受害者对 Web 应用程序执行操作,例如更改权限和删除内容,并在受害者的浏览器中注入恶意内容。

Exchange Web 应用程序主要面临此漏洞的风险。 此更新通过修改 Exchange Web 应用程序管理用户会话身份验证的方式来解决漏洞。

Microsoft 通过协调的漏洞泄露收到了有关此漏洞的信息。 发布此安全公告时,Microsoft 未收到任何信息,表明此漏洞已公开用于攻击客户。

缓解因素

Microsoft 尚未识别此漏洞的任何 缓解因素

解决方法

Microsoft 尚未识别此漏洞的任何 解决方法

Exchange HTML 注入漏洞 - CVE-2015-2359

当 Exchange 未正确清理 HTML 字符串时,Microsoft Exchange Web 应用程序中存在信息泄露漏洞。 若要利用此 HTML 注入 漏洞,攻击者必须能够将特制脚本提交到使用 HTML 清理的目标站点。 如果存在漏洞,在特定情况下,专门制作的脚本未正确清理。 然后,攻击者提供的脚本可以在查看恶意内容的用户的安全上下文中运行。

对于 HTML 注入攻击,此漏洞要求用户必须访问遭到入侵的站点,才能发生任何恶意操作。 例如,在攻击者成功将特制脚本提交到使用 HTML 清理的目标网站后,包含特制脚本的该网站上的任何网页都是永久性跨站点脚本攻击的潜在途径。 当用户访问包含特制脚本的网页时,可以在用户的安全上下文中运行该脚本。

用户连接到清理 HTML 字符串(如工作站或终端服务器)的站点的系统主要面临风险。 此更新通过更正 Exchange Web 应用程序如何清理 HTML 字符串来解决漏洞。

Microsoft 通过协调的漏洞泄露收到了有关此漏洞的信息。 发布此安全公告时,Microsoft 未收到任何信息,表明此漏洞已公开用于攻击客户。

缓解因素

Microsoft 尚未识别此漏洞的任何 缓解因素

解决方法

Microsoft 尚未识别此漏洞的任何 解决方法

安全更新部署

有关安全更新部署信息,请参阅“执行摘要”中引用的 Microsoft 知识库文章。

致谢

Microsoft 认识到安全社区中那些帮助我们通过协调漏洞披露来保护客户的努力。 有关详细信息,请参阅确认。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修订

  • V1.0(2015 年 6 月 9 日):公告已发布。

页面生成的 2015-06-03 12:16Z-07:00。