Microsoft Security Bulletin MS14-075 – Hoch

Sicherheitsanfälligkeiten in Microsoft Exchange Server können Rechteerweiterungen ermöglichen (3009712)

Veröffentlicht: 9. Dezember 2014 | Aktualisiert: 12. Dezember 2014

Version: 3.0

Kurzfassung

Dieses Sicherheitsupdate behebt vier vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Exchange Server. Die schwerwiegendsten dieser Sicherheitsanfälligkeiten können Rechteerweiterungen ermöglichen, wenn ein Benutzer auf eine speziell gestaltete URL klickt, die den Benutzer zu einer betroffenen Outlook Web App-Website führt. Ein Angreifer kann Benutzer nicht zum Besuch einer speziell gestalteten Website zwingen. Stattdessen muss ein Angreifer Benutzer dazu verleiten, die Website zu besuchen. Zu diesem Zweck werden die Benutzer normalerweise dazu gebracht, auf einen Link in einer E-Mail-Nachricht oder Instant Messenger-Nachricht zu klicken, die sie zur Website des Angreifers führt. Dort werden die Benutzer dazu verleitet, auf die speziell gestaltete URL zu klicken.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 und Microsoft Exchange Server 2013 als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem sichergestellt wird, dass Outlook Web App Anforderungstoken ordnungsgemäß überprüft und dass URLs ordnungsgemäß bereinigt werden. Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie im Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Weitere Informationen zu diesem Dokument finden Sie im Microsoft Knowledge Base-Artikel 3009712

 

Betroffene Software

Die folgenden Softwareversionen oder -Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

**Software** **Maximale Sicherheitsauswirkung** **Bewertung des Gesamtschweregrads** **Ersetzte Updates**
**Microsoft Server-Software**
[Microsoft Exchange Server 2007 Service Pack 3](https://www.microsoft.com/download/details.aspx?familyid=0839c232-3175-4308-b7c3-9781662f2fc9)  (2996150) Rechteerweiterungen Hoch 7.375.933,94 cm [MS13-105](https://technet.microsoft.com/de-de/library/security/ms13-105)
[Microsoft Exchange Server 2010 Service Pack 3](https://www.microsoft.com/download/details.aspx?familyid=317b94b0-8fc1-4181-bb5a-cd066988e39e)  (2986475) Rechteerweiterungen Hoch 2905616 in [MS13-105](https://technet.microsoft.com/de-de/library/security/ms13-105)
[Microsoft Exchange Server 2013 Service Pack 1](https://www.microsoft.com/download/details.aspx?familyid=d7aadea2-c0d9-4ab4-aa0d-ddbb0d26dec2) (3011140) Rechteerweiterungen Hoch Keine
[Kumulatives Update 6 für Microsoft Exchange Server 2013](https://www.microsoft.com/download/details.aspx?familyid=f5514dd7-8760-46ff-a8e9-de2cfb6356bf)  (3011140) Rechteerweiterungen Hoch Keine
 

Häufig gestellte Fragen (FAQs) zu diesem Update

Enthält dieses Update weitere nicht sicherheitsbezogene Funktionsänderungen?
Nein, Sicherheitsupdates für Exchange Server 2013 enthalten nur Problembehebungen für die Probleme, die im Security Bulletin identifiziert sind.

Updaterollups für Exchange Server 2007 und Exchange Server 2010 können zusätzliche neue Problembehebungen enthalten. Benutzer, die bei der Bereitstellung von Updaterollups nicht auf dem neuesten Stand geblieben sind, können nach der Installation dieses Updates auf neue Funktionen treffen.

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit

Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für Dezember.

**Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software**
**Betroffene Software** [**Sicherheitsanfälligkeit in Outlook Web App kann Spoofingangriffe ermöglichen – CVE-2014-6319**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-6319) [**Sicherheitsanfälligkeit in OWA durch siteübergreifende Skripterstellung – CVE-2014-6325**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-6325) [**Sicherheitsanfälligkeit in OWA durch siteübergreifende Skripterstellung – CVE-2014-6326**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-6326) [**Sicherheitsanfälligkeit in Exchange durch URL-Umleitung – CVE-2014-6336**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-6336) **Bewertung des Gesamtschweregrads**
**Microsoft Server-Software**
Microsoft Exchange Server 2007 Service Pack 3 **Hoch**  Spoofing Nicht zutreffend Nicht zutreffend Nicht zutreffend **Hoch** 
Microsoft Exchange Server 2010 Service Pack 3 **Hoch**  Spoofing Nicht zutreffend Nicht zutreffend Nicht zutreffend **Hoch** 
Microsoft Exchange Server 2013 Service Pack 1 **Hoch**  Spoofing **Hoch**  Rechteerweiterungen **Hoch**  Rechteerweiterungen **Hoch**  Spoofing **Hoch** 
Microsoft Exchange Server 2013 Kumulatives Update 6 **Hoch**  Spoofing **Hoch**  Rechteerweiterungen **Hoch**  Rechteerweiterungen **Hoch**  Spoofing **Hoch** 
 

Informationen zu Sicherheitsanfälligkeiten

Sicherheitsanfälligkeit in Outlook Web App kann Spoofingangriffe ermöglichen – CVE-2014-6319

Es liegt eine Spoofing-Sicherheitsanfälligkeit in Exchange Server vor, wenn Microsoft Outlook Web App (OWA) einen Anforderungstoken nicht ordnungsgemäß überprüft. Ein Angreifer könnte diese Sicherheitsanfälligkeit nutzen, um E-Mail zu senden, die anscheinend von einem anderen Benutzer als dem Angreifer stammt (z. B. von einer vertrauenswürdigen Quelle). Hauptsächlich sind Benutzer, die über Outlook Web App auf ihre Exchange Server-E-Mail zugreifen, sind durch diese Sicherheitsanfälligkeit gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass Outlook Web App Anforderungstoken ordnungsgemäß überprüft.

Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit erhalten. Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde. Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass Outlook Web App Anforderungstoken ordnungsgemäß überprüft.

Schadensbegrenzende Faktoren

Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein:

  • In einem webbasierten Angriffsszenario kann ein Angreifer eine Website mit einer Datei einrichten, mit der versucht wird, diese Sicherheitsanfälligkeiten auszunutzen. Außerdem können manipulierte Websites und Websites, die von Endbenutzern bereitgestellte Inhalte oder Werbemitteilungen akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer kann Benutzer jedoch nicht zwingen, die vom Angreifer kontrollierten Inhalte anzuzeigen. Er muss den Benutzer dazu verleiten, aktiv zu werden. Zu diesem Zweck wird der Benutzer meist dazu gebracht, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen

Mehrere Sicherheitsanfälligkeiten in OWA durch siteübergreifende Skripterstellung

Es liegt eine Sicherheitsanfälligkeit bezüglich Rechteerweiterungen vor, wenn Microsoft Exchange Server Eingaben nicht ordnungsgemäß überprüft. Angreifer, die diese Sicherheitsanfälligkeit erfolgreich ausnutzen, können ein Skript im Kontext des aktuellen Benutzers ausführen. Ein Angreifer kann z. B. Inhalte lesen, für die der Angreifer keine Leseberechtigungen besitzt, die Identität des Opfers verwenden, um Aktionen auf der Outlook Web App-Website im Namen des Opfers vorzunehmen (wie z. B. Berechtigungen ändern und Inhalte löschen) und schädlichen Inhalt in den Browser des Opfers injizieren. Alle Systeme, mit denen auf eine betroffene Version von Outlook Web App zugegriffen wird, sind potenziell gefährdet. Das Update behebt die Sicherheitsanfälligkeiten, indem sichergestellt wird, dass URLs ordnungsgemäß bereinigt werden.

Damit diese Sicherheitsanfälligkeiten ausgenutzt werden können, muss ein Benutzer auf eine speziell gestaltete URL klicken, die den Benutzer zu einer betroffenen Outlook Web App-Website führt.

In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeiten ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer der betroffenen Outlook Web App-Website sendet und den Benutzer dazu verleitet, auf die speziell gestaltete URL zu klicken.

In einem webbasierten Angriffsszenario muss der Angreifer eine Website hosten, die eine speziell gestaltete URL zur betroffenen Outlook Web App-Website enthält, mit der versucht wird, diese Sicherheitsanfälligkeiten auszunutzen. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeiten ausgenutzt werden können. Ein Angreifer kann Benutzer nicht zum Besuch einer speziell gestalteten Website zwingen. Stattdessen muss ein Angreifer Benutzer dazu verleiten, die Website zu besuchen. Zu diesem Zweck werden die Benutzer normalerweise dazu gebracht, auf einen Link in einer E-Mail-Nachricht oder Instant Messenger-Nachricht zu klicken, die sie zur Website des Angreifers führt. Dort werden die Benutzer dazu verleitet, auf die speziell gestaltete URL zu klicken.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
Sicherheitsanfälligkeit in OWA durch siteübergreifende Skripterstellung CVE-2014-6325 Nein Nein
Sicherheitsanfälligkeit in OWA durch siteübergreifende Skripterstellung CVE-2014-6326 Nein Nein
  ### Schadensbegrenzende Faktoren Für diese Sicherheitsanfälligkeit gibt es noch keine [schadensbegrenzenden Faktoren](https://technet.microsoft.com/de-de/library/security/dn848375.aspx). ### Problemumgehungen Für diese Sicherheitsanfälligkeiten gibt es bislang keine [Problemumgehungen](https://technet.microsoft.com/de-de/library/security/dn848375.aspx). Sicherheitsanfälligkeit in Exchange durch URL-Umleitung – CVE-2014-6336 ----------------------------------------------------------------------- Es liegt eine Spoofing-Sicherheitsanfälligkeit in Microsoft Exchange vor, wenn Microsoft Outlook Web App (OWA) einen Umleitungstoken nicht ordnungsgemäß überprüft. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann den Benutzer über einen Link, der scheinbar aus der Domäne des Benutzers stammt, an eine beliebige Domäne weiterleiten. Ein Angreifer könnte diese Sicherheitsanfälligkeit nutzen, um E-Mail zu senden, die anscheinend von einem anderen Benutzer als dem Angreifer stammt. Hauptsächlich sind Benutzer, die über Outlook Web App auf ihre Exchange Server-E-Mail zugreifen, sind durch diese Sicherheitsanfälligkeit gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass URLs ordnungsgemäß bereinigt werden. Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit erhalten. Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde. Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass URLs ordnungsgemäß bereinigt werden. ### Schadensbegrenzende Faktoren Die folgenden [schadensbegrenzenden Faktoren](https://technet.microsoft.com/de-de/library/security/dn848375.aspx) könnten hilfreich für Sie sein: - Der Angreifer muss ein authentifizierter Exchange-Benutzer sein und E-Mail-Nachrichten senden können, um den manipulierten Link erstellen zu können. - Der schädliche Link kann auch als E-Mail-Anlage gesendet werden, aber der Angreifer muss den Benutzer dazu verleiten, den Link zu öffnen, um die Sicherheitsanfälligkeit ausnutzen zu können. ### Problemumgehungen Für diese Sicherheitsanfälligkeit gibt es noch keine [Problemumgehungen](https://technet.microsoft.com/de-de/library/security/dn848375.aspx).  Bereitstellung von Sicherheitsupdates ------------------------------------- Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den [hier](#kbarticle) in der Kurzfassung verwiesen wird. Danksagung ---------- Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine verantwortliche Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter [Danksagung](https://technet.microsoft.com/de-de/library/security/dn820091.aspx). Haftungsausschluss ------------------ Die Informationen in der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie. Revisionen ---------- - V1.0 (9. Dezember 2014): Bulletin veröffentlicht. - V2.0 (10. Dezember 2014): Bulletin überarbeitet, um den Download Center-Link für Microsoft-Sicherheitsupdates 2986475 für Microsoft Exchange Server 2010 Service Pack 3 zu entfernen und damit ein bekanntes Problem mit dem Update zu beheben. Microsoft arbeitet an der Problemlösung und wird dieses Bulletin aktualisieren, sobald weitere Informationen verfügbar sind. Microsoft hat das Update 2986475 entfernt und empfiehlt den Endbenutzern, die das Update 2986475 installiert haben, es zu deinstallieren. - V3.0 (12. Dezember 2014): Bulletin erneut veröffentlicht, um das erneute Anbieten des Microsoft-Sicherheitsupdates 2986475 für Microsoft Exchange Server 2010 Service Pack 3 anzukündigen. Das erneut veröffentlichte Update behebt ein Problem im ursprünglichen Update. Endbenutzer, die das ursprüngliche Update bereits installiert haben, sollten so bald wie möglich die aktualisierte Version des Updates 2986475 installieren. *Seite generiert am 12.12.2014 7:23Z-08:00.*