Microsoft Security Bulletin MS13-105 - Crítica

Vulnerabilidades no Microsoft Exchange Server podem permitir a execução remota de código (2915705)

Publicado: terça-feira, 10 de dezembro de 2013 | Atualizado: terça-feira, 10 de dezembro de 2013

Versão: 1.1

Informações Gerais

Sinopse

Esta atualização de segurança elimina três vulnerabilidades divulgadas publicamente e uma vulnerabilidade relatada em particular no Microsoft Exchange Server. As vulnerabilidades mais graves existem nos recursos Visualização de documentos WebReady e Prevenção contra perda de dados do Microsoft Exchange Server. As vulnerabilidades podem permitir execução remota de código no contexto de segurança da conta de LocalService se um invasor enviar uma mensagem de email contendo um arquivo especialmente criado a um usuário em um servidor Exchange afetado. A conta LocalService tem privilégios mínimos no sistema local e apresenta credenciais anônimas na rede.

Esta atualização de segurança é classificada como Crítica para todas as edições suportadas do Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 e Microsoft Exchange Server 2013. Para obter mais informações, consulte a subseção Software afetado e não afetado nesta seção.

A atualização de segurança elimina as vulnerabilidades atualizando as bibliotecas afetadas do Oracle Outside In com uma versão não vulnerável, ativando a MAC (machine authentication check) de acordo com as práticas recomendadas e garantindo que URLs sejam adequadamente limpos. Para obter mais informações sobre as vulnerabilidades, consulte a subseção Perguntas frequentes relacionada à entrada das vulnerabilidades específicas presente na próxima seção, Informações sobre a vulnerabilidade.

Recomendação. Os clientes podem configurar a atualização automática para procurar atualizações online do Microsoft Update, usando o serviço Microsoft Update. Os clientes com a atualização automática habilitada e configurada para procurar atualizações online a partir do Microsoft Update geralmente não precisarão tomar nenhuma providência porque esta atualização de segurança será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações do Microsoft Update e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática em edições com suporte do Windows XP e Windows Server 2003, consulte o Artigo 294871 (em inglês) da Microsoft Knowledge Base. Para obter informações sobre a atualização automática nas edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2, consulte Understanding Windows automatic updating.

Para instalações feitas por administradores ou empresas, ou por usuários finais que desejam instalar esta atualização de segurança manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualização ou verificando se há atualizações no serviço Microsoft Update.

Consulte também a seção Orientação e ferramentas de detecção e implantação mais adiante neste boletim.

Problemas conhecidos. Nenhuma

Artigo da Microsoft Knowledge Base:

Artigo da Microsoft Knowledge Base: 2915705
Informações sobre o arquivo Sim
Hashes SHA1/SHA2 Sim
Problemas conhecidos Sim

Softwares afetados e não afetados

O software a seguir foi testado para determinar quais versões ou edições foram afetadas. O ciclo de vida do suporte das outras versões ou edições já terminou ou elas não são afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte Microsoft.

Softwares afetados

Software Impacto máximo à segurança Avaliação de gravidade agregada Atualizações substituídas
Microsoft Server Software
[Microsoft Exchange Server 2007 Service Pack 3](http://www.microsoft.com/downloads/details.aspx?familyid=6ce91b4e-6db8-46b9-b50a-452ae50d9ad4)  (2903911) Execução remota de código Crítica 2873746 no [MS13-061](http://technet.microsoft.com/pt-br/security/bulletin/ms13-061)
[Microsoft Exchange Server 2010 Service Pack 2](http://www.microsoft.com/downloads/details.aspx?familyid=1e320369-cca2-41cc-8800-4d3ab4231c76)  (2903903) Execução remota de código Crítica 2874216 no [MS13-061](http://technet.microsoft.com/pt-br/security/bulletin/ms13-061)
[Microsoft Exchange Server 2010 Service Pack 3](http://www.microsoft.com/downloads/details.aspx?familyid=b3ed8880-65b1-49e9-8fcf-e1c337cb7114)  (2905616) Execução remota de código Crítica 2866475 no [MS13-061](http://technet.microsoft.com/pt-br/security/bulletin/ms13-061)
[Microsoft Exchange Server 2013 Atualização cumulativa 2](http://www.microsoft.com/downloads/details.aspx?familyid=e5c9ecf5-e36f-4164-9960-c91d01a83521) (2880833) Execução remota de código Crítica 2866475 no [MS13-061](http://technet.microsoft.com/pt-br/security/bulletin/ms13-061)
[Microsoft Exchange Server 2013 Atualização cumulativa 3](http://www.microsoft.com/downloads/details.aspx?familyid=35f891ce-8a0d-4d25-abe1-ea45ec81b4e0)  (2880833) Execução remota de código Crítica Nenhuma
**Softwares não afetados**
Microsoft Server Software
Microsoft Exchange Server 2003 Service Pack 2 

Perguntas frequentes de atualização

O que acontece se uma atualização de segurança ou qualquer outro patch de atualização provisório é desinstalado?
A remoção de qualquer atualização de segurança ou patch de atualização provisório no Exchange Server 2013 Atualização cumulativa 2 fará com que o serviço de indexação de conteúdo falhe. Para restaurar a funcionalidade completa, será necessário seguir as etapas descritas no Artigo da Microsoft Knowledge Base 2879739. Estas instruções não são aplicáveis à Atualização cumulativa 3 ou posteriores.

Os comunicados importantes sobre atualização de patch da Oracle falam sobre diversas vulnerabilidades. Quais vulnerabilidades esta atualização elimina?
Esta atualização elimina duas vulnerabilidades: CVE-2013-5763 e CVE-2013-5791, como abordado no Comunicado importante sobre atualização de patch da Oracle - outubro de 2013.

Esta atualização contém quaisquer atualizações relacionadas à falta de segurança desta funcionalidade?
Não. As atualizações de segurança do Exchange Server 2013 contêm somente correções para os problemas identificados no boletim de segurança.

Os conjuntos de atualizações do Exchange Server 2007 e Exchange Server 2010 podem conter novas correções adicionais, mas não para este lançamento específico.

Os conjuntos de atualizações que eliminam os problemas neste boletim contêm somente correções de segurança que foram lançadas desde que o conjunto de atualizações anterior para cada produto foi disponibilizado. Os conjuntos do Exchange Server 2007 e Exchange Server 2010 são cumulativos; portanto, o pacote conterá todas as correções de segurança e não relacionadas à segurança lançadas previamente contidas em conjuntos anteriores. Os clientes que não permaneceram atualizados em sua implantação de conjuntos de atualizações podem presenciar novos recursos com a aplicação dessa atualização.

Duas das vulnerabilidades ocorrem nas bibliotecas Oracle Outside In com código de terceiros. Por que a Microsoft está lançando uma atualização de segurança?  A Microsoft licencia uma implementação personalizada das bibliotecas do Oracle Outside In, específica para o produto no qual o código de terceiros é usado. A Microsoft está emitindo esta atualização de segurança para ajudar a garantir que todos os clientes que estão usando este código de terceiros no Microsoft Exchange fiquem protegidos dessas vulnerabilidades.

Uso uma versão mais antiga do software discutido neste boletim de segurança. O que devo fazer?
Os softwares afetados listados neste boletim foram testados para determinar quais edições são afetadas. Outras versões passaram seu ciclo de vida de suporte. Para obter mais informações sobre o ciclo de vida do produto, visite o site Ciclo de vida do suporte Microsoft.

Os clientes que possuem versões anteriores do software devem priorizar a migração para as versões com suporte, a fim de evitar uma possível exposição a vulnerabilidades. Para determinar o ciclo de vida do suporte para sua versão de software, consulte Selecione um Produto para Obter Informações do Ciclo de Vida. Para obter mais informações sobre service packs para essas versões de software, consulte Política de Suporte do Ciclo de Vida do Service Pack.

Os clientes que precisarem de suporte adicional para software mais antigo deverão entrar em contato com o representante da equipe de contas da Microsoft, o gerente técnico da conta ou o representante do parceiro Microsoft apropriado para obter opções de suporte personalizadas. Os clientes sem um contrato Alliance, Premier ou Authorized podem entrar em contato com o escritório de vendas local da Microsoft. Para obter informações de contato, visite o site de Informações internacionais da Microsoft, selecione o país na lista de informações de contato e, em seguida, clique em Ir para ver uma lista de telefones. Ao ligar, peça para falar com o gerente de vendas local de Suporte Premier. Para obter mais informações, consulte as Perguntas Frequentes sobre a Política do Ciclo de Vida do Suporte da Microsoft.

Informações sobre a vulnerabilidade

Classificação de gravidade e Identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de Exploração no Resumo de boletins de dezembro. Para obter mais informações, consulte o Índice de exploração da Microsoft.

A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado
Softwares afetados O Oracle Outside In contém várias vulnerabilidades que podem ser exploradas:
CVE-2013-5763
O Oracle Outside In contém várias vulnerabilidades que podem ser exploradas:
CVE-2013-5791
Vulnerabilidade de desativação de MAC – CVE-2013-1330 Vulnerabilidade de XSS do OWA – CVE-2013-5072 Avaliação de gravidade agregada
Microsoft Exchange Server 2007 Service Pack 3 
(2903911)
Crítica 
Execução remota de código
Crítica 
Execução remota de código
Crítica 
Execução remota de código
Não Aplicável Crítica
Microsoft Exchange Server 2010 Service Pack 2 
(2903903)
Crítica 
Execução remota de código
Crítica 
Execução remota de código
Crítica 
Execução remota de código
Importante 
Elevação de privilégio
Crítica
Microsoft Exchange Server 2010 Service Pack 3 
(2905616)
Crítica 
Execução remota de código
Crítica 
Execução remota de código
Crítica 
Execução remota de código
Importante 
Elevação de privilégio
Crítica
Microsoft Exchange Server 2013 Atualização cumulativa 2 
(2880833)
Crítica 
Execução remota de código
Crítica 
Execução remota de código
Crítica 
Execução remota de código
Importante 
Elevação de privilégio
Crítica
Microsoft Exchange Server 2013 Atualização cumulativa 3 
(2880833)
Crítica 
Execução remota de código
Crítica 
Execução remota de código
Crítica 
Execução remota de código
Importante 
Elevação de privilégio
Crítica
O Oracle Outside In contém várias vulnerabilidades que podem ser exploradas --------------------------------------------------------------------------- Duas das vulnerabilidades eliminadas neste boletim, CVE-2013-5763 e CVE-2013-5791, existem no Exchange Server 2007, Exchange Server 2010 e Exchange Server 2013 por meio do recurso Visualização de documentos WebReady. As vulnerabilidades podem permitir a execução remota de código como uma conta LocalService se um usuário visualizar um arquivo especialmente criado pelo Outlook Web Access em um navegador. O invasor que explorar com êxito esta vulnerabilidade pode executar código no Exchange Server afetado, mas somente como a conta LocalService. A conta LocalService tem privilégios mínimos no computador local e apresenta credenciais anônimas na rede. Além disso, CVE-2013-5763 e CVE-2013-5791 existem no Exchange Server 2013 por meio do recurso de Proteção contra perda de dados (DLP). Esta vulnerabilidade pode fazer com que o Exchange Server afetado pare de responder se um usuário enviar ou receber um arquivo especialmente criado. Para exibir estas vulnerabilidades como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte [CVE-2013-5763](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-5763) e [CVE-2013-5791](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-5791). #### Fatores atenuantes A atenuação refere-se a uma configuração, configuração comum ou prática recomendada geral, existindo num estado padrão, que possa reduzir a gravidade de exploração de uma vulnerabilidade. Os fatores de atenuação a seguir podem ser úteis em sua situação: - O serviço de transcodificação no Exchange usado para Visualização de documentos WebReady é executado na conta LocalService. A conta LocalService tem privilégios mínimos no computador local e apresenta credenciais anônimas na rede. - O serviço de Gerenciamento de Filtro no Exchange usado para a Prevenção de Perda de Dados é executado na conta LocalService. A conta LocalService tem privilégios mínimos no sistema local e apresenta credenciais anônimas na rede. #### Soluções alternativas A solução alternativa refere-se a uma configuração ou alteração de configuração que não corrige a vulnerabilidade subjacente mas que ajudaria a bloquear vetores de ataque conhecidos antes de aplicar a atualização. A Microsoft testou as soluções alternativas e estados a seguir como parte do cenário que implica se uma solução alternativa reduziria funcionalidade: - **Desabilite Prevenção de Perda de Dados (apenas Exchange Server 2013)** 1. Faça logon no Shell de Gerenciamento do Exchange como um Administrador da Organização do Exchange. 2. Emita um dos seguintes comandos do PowerShell dependendo da versão do Exchange Server 2013 instalado:Para Exchange Server 2013 Atualização cumulativa 2 ou Atualização cumulativa 3: `Add-PSSnapin Microsoft.Forefront.Filtering.Management.PowerShellConjunto-TextExtractionScanSettings -EnableModules AdeModule.DLL, FilterModule.DLL, TextConversionModule.DLL` **Impacto da solução alternativa.** As políticas de DLP que dependem das bibliotecas Outside In não funcionarão. O script fornecido para as Atualizações cumulativas fará com que os serviços de Gerenciamento de filtro e transporte sejam reinicializados. **Como eu desfaço a solução alternativa?** 1. Faça logon no Shell de Gerenciamento do Exchange como um Administrador da Organização do Exchange. 2. Emita um dos seguintes comandos do PowerShell dependendo da versão do Exchange Server 2013 instalado:Para Exchange Server 2013 Atualização cumulativa 2 ou Atualização cumulativa 3: `Add-PSSnapin Microsoft.Forefront.Filtering.Management.PowerShellSet-TextExtractionScanSettings -EnableModules AdeModule.dll, FilterModule.dll, TextConversionModule.dll OutsideInModule.dll` - **Desabilite a visualização de documentos WebReady (Exchange Server 2007, Exchange Server 2010 e Exchange Server 2013)** 1. Faça logon no Shell de Gerenciamento do Exchange como um Administrador da Organização do Exchange. 2. Emita o seguinte comando do PowerShell: `Get-O``waVirtualDirectory | where {$_.OwaVersion -eq 'Exchange2007' -or $_.OwaVersion -eq 'Exchange2010' -or $_.OwaVersion -eq 'Exchange2013'} | Set-OwaVirtualDirectory -WebReadyDocumentViewingOnPublicComputersEnabled:$False -WebReadyDocumentViewingOnPrivateCompu``tersEnabled:$False` **Impacto da solução alternativa.** Os usuários do OWA podem não conseguir pré-visualizar o conteúdo dos anexos de email. **Como eu desfaço a solução alternativa?** 1. Faça logon no Shell de Gerenciamento do Exchange como um Administrador da Organização do Exchange. 2. Emita o seguinte comando do PowerShell: `Get-OwaVirtualDirectory | where {$_.OwaVersion -eq 'Exchange2007' -or $_.OwaVersion -eq 'Exchange2010' -or $_.OwaVersion -eq 'Exchange2013'} | Set-OwaVirtualDirectory -WebReadyDocumentViewingOnPub``licComputersEnabled:$True -WebReadyDocumentViewingOnPrivateComputersEnabled:$True`**Observação** #### Perguntas frequentes **Qual é o escopo das vulnerabilidades?** Estas são vulnerabilidades de execução remota de código. **O que causa as vulnerabilidades?** As vulnerabilidades são causadas quando uma versão vulnerável das bibliotecas Oracle Outside In é usada para analisar arquivos especialmente criados. **O que são as bibliotecas Oracle Outside In?** No Exchange Server 2007, Exchange Server 2010 e Exchange Server 2013, é fornecido aos usuários do Outlook Web APP (OWA) um recurso chamado Visualização de documentos WebReady que permite que os usuários visualizem determinados anexos como uma página da Web em vez de depender de aplicativos locais para abrir ou visualizá-los. As bibliotecas do Oracle Outside In são usadas pelo processo de conversão no back-end do servidor para oferecer suporte ao recurso WebReady. A Microsoft licencia essas bibliotecas da Oracle. No Exchange Server 2013, a Prevenção de Perda de Dados do Exchange (DLP) aproveita as bibliotecas do Oracle Outside In como parte de seus recursos de digitalização de arquivos. **O que é a Visualização de documentos WebReady?** O recurso de Visualização de documentos WebReady permite que os usuários visualizem determinados anexos como uma página da Web. O Exchange Server 2007, Exchange Server 2010 e o Exchange Server 2013 fazem a conversão para que o usuário não necessite de nada além de um navegador da Web para visualizar os anexos. **O que é Prevenção de Perda de** **Dados (DLP)?** A Prevenção de Perda de Dados (DLP) é um recurso do Exchange 2013 que permite que os clientes identifiquem, controlem, e protejam dados sigilosos por análise detalhada de conteúdo. **Como um invasor pode usar as vulnerabilidades?** No Exchange Server 2007, Exchange Server 2010 e Exchange Server 2013, o invasor que conseguir explorar essas vulnerabilidades pode executar o código arbitrário no contexto de segurança do serviço de transcodificação no Exchange que é usado pelo recurso de Visualização de documentos WebReady. No Exchange Server 2013, um invasor que conseguir executar código arbitrário no contexto de segurança do serviço de Gerenciamento de filtro no Exchange que é usado pelo recurso de Prevenção contra perda de dados. O serviço de transcodificação usado pelo recurso de Visualização de documentos WebReady e o serviço de Gerenciamento de filtro usado pelo recurso de Prevenção contra perda de dados são executados com a conta LocalService. A conta LocalService tem privilégios mínimos no computador local e apresenta credenciais anônimas na rede. **De que forma o invasor pode explorar essas vulnerabilidades?** O invasor pode enviar uma mensagem de email contendo um arquivo especialmente criado a um usuário em um servidor Exchange afetado. No Exchange Server 2007, Exchange Server 2010 e Exchange Server 2013, as vulnerabilidades podem ser exploradas pelo recurso de Visualização de documentos WebReady se um usuário visualizar uma mensagem de email que contém um arquivo especialmente criado usando o Outlook Web APP (OWA). No Exchange Server 2013, as vulnerabilidades podem ser exploradas pelo recurso de Prevenção contra perda de dados se uma mensagem de email que contém um arquivo especialmente criado é recebida pelo servidor Exchange. **Quais são os sistemas que mais correm riscos com as vulnerabilidades?** Os sistemas que executam versões afetadas do Exchange Server estão mais suscetíveis a essas vulnerabilidades. **O que a atualização faz?** A atualização elimina as vulnerabilidades atualizando as bibliotecas afetadas do Oracle Outside In com uma versão não vulnerável. **Quando este boletim de segurança foi lançado, essas vulnerabilidades já tinham sido divulgadas publicamente?** Sim. Estas vulnerabilidades foram divulgadas publicamente. Elas foram atribuídas aos seguintes números de Common Vulnerability and Exposure: - [CVE-2013-5763](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-5763) - [CVE-2013-5791](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-5791) **Quando este boletim de segurança foi lançado, a Microsoft recebeu algum relatório informando que essas vulnerabilidades estavam sendo exploradas?** Não. A Microsoft não recebeu nenhuma informação indicando que essas vulnerabilidades tinham sido usadas publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez. Vulnerabilidade de desativação de MAC – CVE-2013-1330 ----------------------------------------------------- Existe uma vulnerabilidade de execução remota de código no Microsoft Exchange Server. Um invasor que explorar esta vulnerabilidade de forma efetiva pode executar códigos arbitrários no contexto do serviço Outlook Web Access (OWA), executado por padrão na conta do Sistema Local. Para exibir essa vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte [CVE-2013-1330](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-1330). #### Fatores atenuantes A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade. #### Soluções alternativas A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade. #### Perguntas frequentes **Qual é o escopo da vulnerabilidade?** Essa é uma vulnerabilidade de execução remota de código. **O que provoca a vulnerabilidade?** Esta vulnerabilidade é causada quando o Exchange Server não valida corretamente a entrada. **Para que um invasor pode usar a vulnerabilidade?** Um invasor que explorar esta vulnerabilidade de forma efetiva pode executar códigos arbitrários no contexto do serviço Outlook Web Access (OWA), executado por padrão na conta do Sistema Local. **De que forma o invasor pode explorar a vulnerabilidade?** Num cenário de ataque, o invasor pode enviar conteúdo especialmente criado ao servidor de destino. **Quais são os principais sistemas que correm riscos com** **a vulnerabilidade?** Qualquer sistema que execute uma versão afetada do Exchange Server que executa o Outlook Web Access é afetado por esta vulnerabilidade. **O que a atualização faz?** A atualização trata a vulnerabilidade habilitando a verificação de autenticação de máquina (MAC) de acordo com as melhores práticas. **Quando esse boletim de segurança foi lançado, essa vulnerabilidade já havia sido divulgada publicamente?** Sim. Essa vulnerabilidade foi divulgada publicamente. Ela recebeu o número [CVE-2013-1330](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-1330) da lista Common Vulnerability and Exposure. **Quando esse boletim de segurança foi lançado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?** Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez. Vulnerabilidade de XSS do OWA – CVE-2013-5072 --------------------------------------------- Existe elevação de vulnerabilidade de privilégio no Microsoft Exchange Server. O invasor que explorar esta vulnerabilidade com êxito poderá executar script no contexto do usuário atual. Para exibir essa vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte [CVE-2013-5072](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-5072). #### Fatores atenuantes A Microsoft não identificou nenhum fator atenuante para essa vulnerabilidade. #### Soluções alternativas A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade. #### Perguntas frequentes **Qual é o escopo da vulnerabilidade?** Esta é uma vulnerabilidade de elevação de privilégio. **O que provoca a vulnerabilidade?** Esta vulnerabilidade é causada quando o Exchange Server não valida corretamente a entrada. **O que é script entre sites?** O script entre sites (XSS) é uma classe de vulnerabilidade de segurança que pode permitir a um invasor injetar código de script na sessão do usuário com um site. A vulnerabilidade pode afetar servidores Web que geram dinamicamente páginas em HTML. Se esses servidores incorporarem entradas do navegador nas páginas dinâmicas que enviam de volta ao navegador, esses servidores poderão ser manipulados de forma a incluir conteúdo mal-intencionado nas páginas dinâmicas. Isso permitirá a execução do script mal-intencionado. Os navegadores da Web podem perpetuar esse problema devido a seus pressupostos quanto a sites confiáveis e seu uso de cookies para manter um estado persistente com os sites que frequentam. Esse ataque XSS não modifica o conteúdo do site. Em vez disso, insere novo script mal-intencionado que pode ser executado no navegador no contexto associado a um servidor confiável. **Para que um invasor pode usar a vulnerabilidade?** Um invasor que explorou com êxito esta vulnerabilidade podia ler conteúdo que o invasor não está autorizado a ler, usar a identidade da vítima para tomar ações no site do Outlook Web Access em nome da vítima, tal como permissões de alteração e exclusão de conteúdo, além da inserção de conteúdo mal-intencionado no navegador da vítima. **De que forma o invasor pode explorar a vulnerabilidade?** Para esta vulnerabilidade ser explorada, um usuário deve clicar em um URL especialmente criada que o leva a um site específico do Outlook Web Access. Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando um email com um URL especialmente criado para o usuário de um site específico do Outlook Web Access e convencendo-o a clicar em um URL especialmente criado para isso. Em um cenário de ataque com base na Web, um invasor terá de hospedar um site que contenha um URL especialmente criado para o site específico do Outlook Web Access que é usado para tentar explorar esta vulnerabilidade. Além disso, sites comprometidos e sites que aceitem ou hospedem conteúdo fornecido pelo usuário podem conter conteúdo especialmente desenvolvido que pode explorar esta vulnerabilidade. Não há como um invasor forçar usuários a visitar o site especialmente criado. Em vez disso, o invasor teria de persuadir os usuários a visitar o site, geralmente fazendo-os clicar em um link em um email ou em uma mensagem do Instant Messenger que leve os usuários ao site do invasor, e então convencê-los a clicar em um URL especialmente criado para isso. **Quais são os principais sistemas que correm riscos com a vulnerabilidade?** Qualquer sistema usado para acessar uma versão afetada do Outlook Web Access está potencialmente vulneráveis a ataques. **O que a atualização faz?** A atualização elimina a vulnerabilidade, garantindo que os URLs sejam adequadamente limpos. **Quando esse boletim de segurança foi lançado, essa vulnerabilidade já havia sido divulgada publicamente?** Não. A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. **Quando esse boletim de segurança foi lançado, a Microsoft havia recebido algum relatório informando que essa vulnerabilidade estava sendo explorada?** Não. A Microsoft não recebeu nenhuma informação indicando que essa vulnerabilidade tinha sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado pela primeira vez. ### Informações da atualização Orientação e ferramentas de detecção e implantação -------------------------------------------------- Vários recursos estão disponíveis para ajudar administradores a implantar atualizações de segurança.  - O MBSA (Microsoft Baseline Security Analyzer) permite aos administradores pesquisar, em sistemas locais e remotos, atualizações de segurança ausentes e problemas de configuração de segurança comuns.  - O WSUS (Windows Server Update Services), SMS (Systems Management Server) e SCCM (System Center Configuration Manager) ajudam os administradores a distribuir as atualizações de segurança.  - Os componentes do Avaliador de compatibilidade com atualizações, incluídos no Kit de ferramentas de compatibilidade de aplicativos, auxilia a otimizar os testes e a validação das atualizações do Windows com relação aos aplicativos instalados.  Para informações sobre estas e outras ferramentas que estão disponíveis, consulte [Ferramentas de segurança para profissionais de TI](http://technet.microsoft.com/security/cc297183). Implantação de atualização de segurança --------------------------------------- **Softwares afetados** Para obter informações sobre uma atualização de segurança específica para seu software afetado, clique no link apropriado: #### Microsoft Exchange Server 2007 Service Pack 3 **Tabela de referência** A tabela a seguir contém as informações de atualização de segurança desse software.

Inclusão em Service Packs futuros A atualização desse problema será incluída em um service pack ou conjunto de atualizações futuro.
Nome do arquivo de atualização de segurança Para o Microsoft Exchange Server 2007 Service Pack 3:
Exchange2007-KB2903911-x64-EN.msp
Opções de instalação Consulte o artigo 912203 (em inglês) da Microsoft Knowledge Base
Requisitos de reinicialização Não. Essa atualização não requer reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia-os em seguida. Contudo, se esses serviços necessários não puderem ser interrompidos por algum motivo, ou se os arquivos necessários estiverem em uso, a atualização exigirá uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
Arquivo de log de atualização KB2903911.log
Informações sobre remoção Use a ferramenta Adicionar ou Remover Programas no Painel de controle.
Informações sobre o arquivo Consulte o Artigo 2903911 (em inglês) da Microsoft Knowledge Base
Verificação da chave de registro Para o Microsoft Exchange Server 2007 Service Pack 3:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange 2007\SP2\KB2903911

Microsoft Exchange Server 2010 Service Pack 2

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Inclusão em Service Packs futuros A atualização desse problema será incluída em um service pack ou conjunto de atualizações futuro.
Nome do arquivo de atualização de segurança Para o Microsoft Exchange Server 2010 Service Pack 2:
Exchange2010-KB2903903-x64-en.msp
Opções de instalação Consulte o artigo 912203 (em inglês) da Microsoft Knowledge Base
Requisitos de reinicialização Não. Essa atualização não requer reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia-os em seguida. Contudo, se esses serviços necessários não puderem ser interrompidos por algum motivo, ou se os arquivos necessários estiverem em uso, a atualização exigirá uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
Arquivo de log de atualização KB2903903.log
Informações sobre remoção Use a ferramenta Adicionar ou Remover Programas no Painel de controle.
Informações sobre o arquivo Consulte o Artigo 2903903 (em inglês) da Microsoft Knowledge Base
Verificação da chave de registro Para o Microsoft Exchange Server 2010 Service Pack 2:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange 2010\SP1\KB2903903

Microsoft Exchange Server 2010 Service Pack 3

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Inclusão em Service Packs futuros A atualização desse problema será incluída em um service pack ou conjunto de atualizações futuro.
Nome do arquivo de atualização de segurança Para o Microsoft Exchange Server 2010 Service Pack 3:
Exchange2010-KB2905616-x64-en.msp
Opções de instalação Consulte o artigo 912203 (em inglês) da Microsoft Knowledge Base
Requisitos de reinicialização Não. Essa atualização não requer reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia-os em seguida. Contudo, se esses serviços necessários não puderem ser interrompidos por algum motivo, ou se os arquivos necessários estiverem em uso, a atualização exigirá uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
Arquivo de log de atualização KB2905616.log
Informações sobre remoção Use a ferramenta Adicionar ou Remover Programas no Painel de controle.
Informações sobre o arquivo Consulte o Artigo 2905616 (em inglês) da Microsoft Knowledge Base
Verificação da chave de registro Para o Microsoft Exchange Server 2010 Service Pack 3:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange 2010\SP3\KB2905616

Microsoft Exchange Server 2013

Tabela de referência

A tabela a seguir contém as informações de atualização de segurança desse software.

Inclusão em Service Packs futuros A atualização desse problema será incluída em um service pack ou atualização cumulativa futura.
Nome do arquivo de atualização de segurança Para Microsoft Exchange Server 2013 Atualização cumulativa 2 e Microsoft Exchange Server 2013 Atualização cumulativa 3:
Exchange2013-KB2880833-x64-en.msp
Opções de instalação Consulte o artigo 912203 (em inglês) da Microsoft Knowledge Base
Requisitos de reinicialização Não. Essa atualização não requer reinicialização. O instalador interrompe os serviços necessários, aplica a atualização e reinicia-os em seguida. Contudo, se esses serviços necessários não puderem ser interrompidos por algum motivo, ou se os arquivos necessários estiverem em uso, a atualização exigirá uma reinicialização. Se isso ocorrer, uma mensagem que aconselha a reinicialização será exibida.

Para reduzir a chance de uma reinicialização não ser solicitada, interrompa todos os serviços afetados e feche todos os aplicativos que possam usar os arquivos afetados antes de instalar a atualização de segurança. Para obter mais informações sobre os motivos pelos quais você será solicitado a reiniciar, consulte o Artigo 887012 (em inglês) da Microsoft Knowledge Base.
Arquivo de log de atualização KB2880833.log
Informações sobre remoção Use a ferramenta Adicionar ou Remover Programas no Painel de controle.
Informações sobre o arquivo Consulte o Artigo 2880833 (em inglês) da Microsoft Knowledge Base
Verificação da chave de registro Para edições com suporte do Microsoft Exchange Server 2013:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange 2013\SP1\KB2880833

Outras informações

Agradecimentos

A Microsoft agradece às pessoas mencionadas abaixo por trabalhar conosco para ajudar a proteger os clientes:

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Suporte

Como obter ajuda e suporte para esta atualização de segurança

Aviso de isenção de responsabilidade

As informações fornecidas na Microsoft Knowledge Base são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (10 de dezembro de 2013): Boletim publicado.
  • V1.1 (10 de dezembro de 2013): Atualização de "Nenhum" para "Sim" na entrada Problemas conhecidos da seção Artigo da Microsoft Knowledge Base.

Built at 2014-04-18T01:50:00Z-07:00