Microsoft Security Bulletin MS15-026 – Wichtig
Sicherheitsrisiken in Microsoft Exchange Server könnten rechteerweiterungen zulassen (3040856)
Veröffentlicht: 10. März 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Exchange Server. Die schwerwiegendsten Sicherheitsrisiken können rechteerweiterungen zulassen, wenn ein Benutzer auf eine speziell gestaltete URL klickt, die sie zu einer bestimmten Outlook Web App-Website führt. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, eine speziell gestaltete Website zu besuchen. Stattdessen müsste ein Angreifer sie davon überzeugen, die Website zu besuchen, in der Regel durch Klicken auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht, die sie zur Website des Angreifers führt, und dann davon überzeugen, auf die speziell gestaltete URL zu klicken.
Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Microsoft Exchange Server 2013 als wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Exchange Server Seiteninhalte in Outlook Web App sanitiert und wie Exchange die Authentizität des Besprechungsorganisators überprüft, wenn Besprechungsanfragen in Exchange-Kalendern akzeptiert, geplant oder geändert werden. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".
Weitere Informationen zu diesem Dokument finden Sie im Microsoft Knowledge Base-Artikel 3040856.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
| Software | Maximale Sicherheitswirkung | Bewertung des aggregierten Schweregrads | Ersetzte Updates |
|---|---|---|---|
| Microsoft Server-Software | |||
| Microsoft Exchange Server 2013 Service Pack 1 (3040856) | Angriffe durch Rechteerweiterung | Wichtig | Keine |
| Kumulatives Update 7 für Microsoft Exchange Server 2013 (3040856) | Angriffe durch Rechteerweiterung | Wichtig | Keine |
Häufig gestellte Fragen zum Aktualisieren
**Enthält dieses Update alle nicht sicherheitsrelevanten Änderungen der Funktionalität? ** Nein, Exchange Server 2013-Sicherheitsupdates enthalten nur Korrekturen für die im Sicherheitsbulletin identifizierten Probleme.
Schweregradbewertungen und Sicherheitslücken-IDs
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im März.
| Bewertung des Schweregrads der Sicherheitsanfälligkeit und maximale Sicherheitsbeeinträchtigung durch betroffene Software | ||||||
|---|---|---|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit in OWA geänderter Canary-Parameter bezüglich websiteübergreifender Skripting – CVE-2015-1628 | Sicherheitsanfälligkeit in ExchangeDLP cross Site Scripting – CVE-2015-1629 | Sicherheitsanfälligkeit im Überwachungsbericht bezüglich websiteübergreifender Skripterstellung – CVE-2015-1630 | Sicherheitsanfälligkeit in Exchange Forged Meeting Request Spoofing – CVE-2015-1631 | Sicherheitsanfälligkeit bezüglich websiteübergreifender Skripterstellung bei Exchange-Fehlermeldungen – CVE-2015-1632 | Bewertung des aggregierten Schweregrads |
| Microsoft Server-Software | ||||||
| Microsoft Exchange Server 2013 Service Pack 1 (3040856) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtige Spoofing | Wichtige Rechteerweiterung | Wichtig |
| Kumulatives Update 7 für Microsoft Exchange Server 2013 (3040856) | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtige Rechteerweiterung | Wichtige Spoofing | Wichtige Rechteerweiterung | Wichtig |
Informationen zu Sicherheitsrisiken
Mehrere OWA XSS-Sicherheitsrisiken
Sicherheitsrisiken für rechteerweiterungen sind vorhanden, wenn Microsoft Exchange Server Seiteninhalte in Outlook Web App nicht ordnungsgemäß sanitiert. Ein Angreifer könnte diese Sicherheitsrisiken ausnutzen, indem bestimmte Eigenschaften in Outlook Web App geändert und benutzer dann überzeugen, zur zielbezogenen Outlook Web App-Website zu navigieren. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausgenutzt hat, kann skript im Kontext des aktuellen Benutzers ausführen. Das Skript könnte dann beispielsweise die Identität des Opfers verwenden, um Aktionen auf der betroffenen Outlook Web App-Website im Namen des Opfers mit den gleichen Berechtigungen wie der aktuelle Benutzer auszuführen. Jedes System, das für den Zugriff auf eine betroffene Version von Outlook Web App verwendet wird, ist potenziell gefährdet. Das Update behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Der Seiteninhalt von Exchange Server in Outlook Web App sanitiert wird.
Damit diese Sicherheitsrisiken ausgenutzt werden können, muss ein Benutzer auf eine speziell gestaltete URL klicken, die den Benutzer zu einer bestimmten Outlook Web App-Website führt.
In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsrisiken ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer der gezielten Outlook Web App-Website sendet und den Benutzer überzeugen konnte, auf die speziell gestaltete URL zu klicken.
In einem webbasierten Angriffsszenario müsste ein Angreifer eine Website hosten, die eine speziell gestaltete URL zu der zielorientierten Outlook Web App-Website enthält, die verwendet wird, um diese Sicherheitsrisiken auszunutzen. Darüber hinaus könnten kompromittierte Websites und Websites, die vom Benutzer bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsrisiken ausnutzen könnten. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, eine speziell gestaltete Website zu besuchen. Stattdessen müsste ein Angreifer sie davon überzeugen, die Website zu besuchen, in der Regel durch Klicken auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht, die sie zur Website des Angreifers führt, und dann davon überzeugen, auf die speziell gestaltete URL zu klicken.
Die folgende Tabelle enthält Links zum Standardeintrag für jede Sicherheitsanfälligkeit in der Liste allgemeiner Sicherheitsrisiken und Expositionen:
| Titel der Sicherheitsanfälligkeit | CVE-Nummer | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| Sicherheitsanfälligkeit in OWA geänderter Canary-Parameter für websiteübergreifende Skripting | CVE-2015-1628 | No | No |
| Sicherheitsanfälligkeit in ExchangeDLP cross Site Scripting | CVE-2015-1629 | No | No |
| Sicherheitsrisiko bei websiteübergreifendem Auditbericht | CVE-2015-1630 | No | No |
| Sicherheitsanfälligkeit in Exchange-Fehlermeldung über websiteübergreifendes Skripting | CVE-2015-1632 | No | No |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsrisiken identifiziert.
Problemumgehungen
Problemumgehung für die Sicherheitsanfälligkeit in OWA Modified Canary Parameter Cross Site Scripting – CVE-2015-1628
Verwenden einer Webanwendungsfirewall (WAF) zum Blockieren von Anforderungen an
<host>/owa/?ae=Item&t;=AD.RecipientType.User&id;=<id>enthält das Cookie "X-OWA-Canary" ein doppeltes Anführungszeichen (), HTML-Markup oder JavaScript.
Problemumgehung für die Sicherheitsanfälligkeit bezüglich standortübergreifender Skripterstellung für Exchange-Fehlermeldungen – CVE-2015-1632
Verwenden einer Webanwendungsfirewall (WAF) zum Blockieren von Anforderungen an</id></host><host>/errorfe.aspx?httpCode=500&ts;=130560784095001947&be;=DB4PR07MB0703&authError;=LiveConfigurationHRESULTException&msg;=GenericAuthErrorMessage&msgParam;=<param>wobei der Abfrageparameter "msgParam" einen Javascript-URI enthält.
Sicherheitsanfälligkeit in Exchange Forged Meeting Request Spoofing – CVE-2015-1631
In Exchange Server ist eine Spoofing-Sicherheitsanfälligkeit vorhanden, wenn Exchange die Identität des Besprechungsorganisators bei der Annahme oder Änderung von Besprechungsanfragen nicht ordnungsgemäß überprüft. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann dann die Sicherheitsanfälligkeit verwenden, um Besprechungen zu planen oder zu ändern, während er von einem legitimen Besprechungsorganisator stammt. Kunden, die betroffene Versionen von Exchange Server verwenden, sind für diese Sicherheitsanfälligkeit gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem die Art und Weise korrigiert wird, wie Exchange die Authentizität des Besprechungsorganisators überprüft, wenn Besprechungsanfragen in Exchange-Kalendern akzeptiert, geplant oder geändert werden.
Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ausgestellt wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. März 2015): Bulletin veröffentlicht.
Seite generiert 2015-03-04 13:08Z-08:00.