Microsoft Security Bulletin MS15-026 – Hoch

Sicherheitsanfälligkeiten in Microsoft Exchange Server können Erhöhung von Berechtigungen ermöglichen (3040856)

Veröffentlicht: 10. März 2015

Version: 1.0

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Exchange Server. Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann Erhöhung von Berechtigungen ermöglichen, wenn ein Benutzer auf eine speziell gestaltete URL klickt, die den Benutzer zu einer betroffenen Outlook Web App-Website führt. Ein Angreifer kann Benutzer nicht zum Besuch einer speziell gestalteten Website zwingen. Stattdessen muss ein Angreifer Benutzer dazu verleiten, die Website zu besuchen. Zu diesem Zweck werden die Benutzer normalerweise dazu gebracht, auf einen Link in einer Instant Messenger-Nachricht oder E-Mail-Nachricht zu klicken, der die Benutzer zur Website des Angreifers führt. Dort werden die Benutzer dazu verleitet, auf die speziell gestaltete URL zu klicken.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft Exchange Server 2013 als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Exchange Server speziell gestaltete Seiteninhalte in Outlook Web App bereinigt und wie Exchange die Authentizität des Besprechnungsplaners bei der Annahme, Planung oder Änderung von Besprechungsanfragen in Exchange-Kalendern überprüft. Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie im Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Weitere Informationen zu diesem Dokument finden Sie im Microsoft Knowledge Base-Artikel 3040856.

Betroffene Software

Die folgenden Softwareversionen oder -Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Software Maximale Sicherheitsauswirkung Bewertung des Gesamtschweregrads Ersetzte Updates
Microsoft Server-Software
Microsoft Exchange Server 2013 Service Pack 1
(3040856)
Erhöhung von Berechtigungen Hoch Keine
Kumulatives Update 7 für Microsoft Exchange Server 2013
(3040856)
Erhöhung von Berechtigungen Hoch Keine

Häufig gestellte Fragen (FAQs) zu diesem Update

Enthält dieses Update weitere nicht sicherheitsbezogene Funktionsänderungen?
Nein, Sicherheitsupdates für Exchange Server 2013 enthalten nur Problembehebungen für die Probleme, die im Security Bulletin identifiziert sind.

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeiten

Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für März.

Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software
Betroffene Software OWA-Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung durch geänderten Canary-Parameter – CVE-2015-1628 Sicherheitsanfälligkeit in Exchange DLP bezüglich siteübergreifender Skripterstellung – CVE-2015-1629 Sicherheitsanfälligkeit in Überwachungsbericht bezüglich siteübergreifender Skripterstellung – CVE-2015-1630 Spoofing-Sicherheitsanfälligkeit durch gefälschte Exchange-Besprechungsanfrage – CVE-2015-1631 +++Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung durch Exchange-Fehlermeldung – CVE-2015-1632 Bewertung des Gesamtschweregrads
Microsoft Server-Software
Microsoft Exchange Server 2013 Service Pack 1
(3040856)
Hoch
Erhöhung von Berechtigungen
Hoch
Erhöhung von Berechtigungen
Hoch
Erhöhung von Berechtigungen
Hoch
Spoofing
Hoch
Erhöhung von Berechtigungen
Hoch
Microsoft Exchange Server 2013 Kumulatives Update 7
(3040856)
Hoch
Erhöhung von Berechtigungen
Hoch
Erhöhung von Berechtigungen
Hoch
Erhöhung von Berechtigungen
Hoch
Spoofing
Hoch
Erhöhung von Berechtigungen
Hoch

Informationen zu Sicherheitsanfälligkeiten

Mehrere Sicherheitsanfälligkeiten in OWA durch siteübergreifende Skripterstellung

Es liegen Sicherheitsanfälligkeiten bezüglich Erhöhung von Berechtigungen vor, wenn Microsoft Exchange Server Seiteninhalte in Outlook Web App nicht ordnungsgemäß bereinigt. Ein Angreifer kann diese Sicherheitsanfälligkeiten ausnutzen, indem er bestimmte Eigenschaften in Outlook Web App ändert dann Benutzer dazu verleitet, die betreffende Outlook Web App-Website zu besuchen. Angreifer, die diese Sicherheitsanfälligkeit erfolgreich ausnutzen, können ein Skript im Kontext des aktuellen Benutzers ausführen. Das Skript dann beispielsweise die Identität des Opfers verwenden, um im Namen des Opfers mit den gleichen Berechtigungen wie der aktuelle Benutzer Aktionen auf der betreffenden Outlook Web App-Website auszuführen. Alle Systeme, mit denen auf eine betroffene Version von Outlook Web App zugegriffen wird, sind potenziell gefährdet. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Exchange Server Seiteninhalte in Outlook Web App bereinigt.

Damit diese Sicherheitsanfälligkeiten ausgenutzt werden können, muss ein Benutzer auf eine speziell gestaltete URL klicken, die den Benutzer zu einer betroffenen Outlook Web App-Website führt.

In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeiten ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer der betroffenen Outlook Web App-Website sendet und den Benutzer dazu verleitet, auf die speziell gestaltete URL zu klicken.

In einem webbasierten Angriffsszenario muss der Angreifer eine Website hosten, die eine speziell gestaltete URL zur betroffenen Outlook Web App-Website enthält, mit der versucht wird, diese Sicherheitsanfälligkeiten auszunutzen. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, über die diese Sicherheitsanfälligkeiten ausgenutzt werden können. Ein Angreifer kann Benutzer nicht zum Besuch einer speziell gestalteten Website zwingen. Stattdessen muss ein Angreifer Benutzer dazu verleiten, die Website zu besuchen. Zu diesem Zweck werden die Benutzer normalerweise dazu gebracht, auf einen Link in einer Instant Messenger-Nachricht oder E-Mail-Nachricht zu klicken, der die Benutzer zur Website des Angreifers führt. Dort werden die Benutzer dazu verleitet, auf die speziell gestaltete URL zu klicken.

Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsanfälligkeiten:

Titel der Sicherheitsanfälligkeit CVE-Nummer Öffentlich gemeldet Ausgenutzt
OWA-Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung durch geänderten Canary-Parameter CVE-2015-1628 Nein Nein
Sicherheitsanfälligkeit in Exchange DLP bezüglich siteübergreifender Skripterstellung CVE-2015-1629 Nein Nein
Sicherheitsanfälligkeit in Überwachungsbericht bezüglich siteübergreifender Skripterstellung CVE-2015-1630 Nein Nein
Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung durch Exchange-Fehlermeldung CVE-2015-1632 Nein Nein

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

  • Problemumgehung für die OWA-Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung durch geänderten Canary-Parameter – CVE-2015-1628

    Verwenden einer Web Application Firewall (WAF), um Anforderungen zu blockieren

    <host>/owa/?ae=Item&t=AD.RecipientType.User&id=<ID>
    

    wobei das Cookie "X-OWA-Canary" ein doppeltes Anführungszeichen ("), HTML-Markup oder JavaScript enthält.

  • Problemumgehung für Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung durch Exchange-Fehlermeldung – CVE-2015-1632

    Verwenden einer Web Application Firewall (WAF), um Anforderungen zu blockieren

    <host>/errorfe.aspx?httpCode=500&ts=130560784095001947&be=DB4PR07MB0703&authError=LiveConfigurationHRESULTException&msg=GenericAuthErrorMessage&msgParam=<param>
    

    wobei der Abfrageparameter "msgParam" eine Javascript-URI enthält.

Spoofing-Sicherheitsanfälligkeit durch gefälschte Exchange-Besprechungsanfrage – CVE-2015-1631

Es liegt eine Spoofing-Sicherheitsanfälligkeit in Exchange Server vor, wenn Exchange die Identität des Besprechungsplaners beim Annahmen oder Ändern von Besprechungsanfragen nicht ordnungsgemäß überprüft. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann dann Besprechungen einplanen oder ändern und dabei den Eindruck erwecken, er sei der rechtmäßige Besprechungsplaner. Endbenutzer, die die betroffenen Versionen von Exchange Server verwenden, sind von dieser Sicherheitsanfälligkeit betroffen. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Exchange die Authentizität des Besprechnungsplaners bei der Annahme, Planung oder Änderung von Besprechungsanfragen in Exchange-Kalendern überprüft.

Microsoft hat durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit Informationen zu dieser Sicherheitsanfälligkeit erhalten. Microsoft lagen zum Zeitpunkt der Veröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Kurzzusammenfassung verwiesen wird.

Danksagung

Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung.

Haftungsausschluss

Die Informationen in der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (10. März 2015): Bulletin veröffentlicht.

Seite generiert am 04.03.2015 um 13:08Z-08:00.