Boletim de Segurança da Microsoft MS15-103 - Importante

Vulnerabilidade no Microsoft Exchange Server pode permitir a divulgação de Informações (3089250)

Publicado em: 08.09.15

Versão: 1.0

Sinopse

Esta atualização de segurança resolve vulnerabilidades no Microsoft Exchange Server. A mais grave das vulnerabilidades pode permitir a divulgação de informações se o Outlook Web Access (OWA) não processar as solicitações da Web adequadamente e limpar a entrada do usuário e o conteúdo de e-mail.

Esta atualização de segurança foi classificada como Importante para todas as edições suportadas do Microsoft Exchange Server 2013. Para obter mais informações, consulte a seção Software Afetado.

A atualização de segurança trata as vulnerabilidades corrigindo como o OWA do Microsoft Exchange processa solicitações da Web e ajudando a garantir que o OWA limpe adequadamente a entrada do usuário e o conteúdo de e-mail. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre a vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3089250 da Base de Dados de Conhecimento da Microsoft.

Software Afetado

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte da Microsoft.

Software

Impacto máximo à segurança

Avaliação de gravidade agregada

Atualizações substituídas*

Microsoft Server Software

Atualização cumulativa 8 do Microsoft Exchange Server 2013
(3087126)

Divulgação de informações

Importante

3062157 no MS15-064

Atualização cumulativa 9 do Microsoft Exchange Server 2013
(3087126)

Divulgação de informações

Importante

3062157 no MS15-064

Microsoft Exchange Server 2013 Service Pack 1
(3087126)

Divulgação de informações

Importante

3062157 no MS15-064

* A coluna Atualizações substituídas mostra somente a atualização mais recente em qualquer cadeia de atualizações substituídas. Para um lista abrangente de atualizações substituídas, vá até o Catálogo do Microsoft Update, procure pelo número da KB da atualização e depois visualize os detalhes da atualização (as informações sobre as atualizações substituídas são fornecidas na guia Detalhes do Pacote).

Perguntas frequentes de atualização

Esta atualização contém alterações adicionais relacionadas à segurança da funcionalidade?
Além das alterações que estão listadas para as vulnerabilidades descritas neste boletim, esta atualização inclui atualizações de defesa profunda para ajudar a aprimorar recursos relacionados à segurança.

Classificação de gravidade e Identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de setembro.

Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado

Software Afetado

Vulnerabilidade de divulgação de informações do Exchange - CVE-2015-2505

Vulnerabilidade de falsificação do Exchange - CVE-2015-2543

Vulnerabilidade de falsificação do Exchange - CVE-2015-2544

Avaliação de gravidade agregada

Microsoft Server Software

Microsoft Exchange Server 2013 Service Pack 1
(3087126)

Importante
Divulgação de informações

Não aplicável

Importante
Falsificação

Importante

Atualização cumulativa 8 do Microsoft Exchange Server 2013
(3087126)

Importante
Divulgação de informações

Importante
Falsificação

Importante
Falsificação

Importante

Atualização cumulativa 9 do Microsoft Exchange Server 2013
(3087126)

Importante
Divulgação de informações

Importante
Falsificação

Importante
Falsificação

Importante

Informações sobre a vulnerabilidade

Vulnerabilidade de divulgação de informações do Exchange - CVE-2015-2505

Há uma vulnerabilidade de divulgação de informações do Exchange Server quando o Microsoft Outlook Web Access (OWA) não processar as solicitações da Web adequadamente. Um atacante que explora com êxito esta vulnerabilidade pode passar pelo Firewall do Windows.

Para explorar a vulnerabilidade, um atacante teria que criar uma solicitação de aplicativo Web especialmente desenvolvida e enviá-la para um aplicativo Web. A atualização de segurança aborda a vulnerabilidade corrigindo como o Microsoft Exchange OWA manipula os arquivos na memória.

Quando esse boletim de segurança foi originalmente emitido, a Microsoft ainda não tinha recebido informações que indicassem que a vulnerabilidade tinha sido usada de forma pública para atacar clientes.

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

A Microsoft não identificou nenhuma solução alternativa para esta vulnerabilidade.

Várias vulnerabilidades de falsificação do Exchange

Existem vulnerabilidades de falsificação no Microsoft Exchange Server quando o OWA não limpa adequadamente um conteúdo especialmente criado no e-mail. Um atacante autenticado pode explorar as vulnerabilidades enviando um e-mail especialmente criado para um usuário. Em seguida, um atacante pode executar ataques de injeção HTML nos sistemas afetados e tentar convencer o usuário a divulgar informações confidenciais.

Para explorar a vulnerabilidade, o usuário deve clicar em uma URL especialmente criada. Em um cenário de ataque por e-mail, o atacante pode enviar um e-mail contendo a URL especialmente criada para o usuário via OWA em uma tentativa de convencer o usuário a clicar nele.

Em um cenário de ataque com base na Web, o atacante pode hospedar um site malicioso projetado para parecer com um site legítimo para o usuário. Não há como o atacante forçar o usuário a visitar o site mal-intencionado. O atacante precisa convencer os usuários a visitar um site mal-intencionado, na prática de seduzir o usuário a clicar em um link qualquer, em uma mensagem instantânea ou em uma mensagem de e-mail que leva o usuário para o site malicioso do atacante, e então convencer o usuário a interagir com o conteúdo no site mal-intencionado.

A atualização de segurança aborda as vulnerabilidades ajudando a garantir que o SharePoint Server limpe adequadamente o conteúdo de e-mail.

A tabela a seguir contém links para a entrada padrão para cada vulnerabilidade na lista Vulnerabilidades Comuns e Exposições:

Título da vulnerabilidade Número de CVE Divulgadas de forma pública Explorado
Vulnerabilidade de falsificação do Exchange CVE-2015-2543 Não Não
Vulnerabilidade de falsificação do Exchange CVE-2015-2544 Não Não

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para essas vulnerabilidades.

Soluções alternativas

A Microsoft não identificou quaisquer soluções alternativas para essas vulnerabilidades.

Implantação de atualização de segurança

Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento da Microsoft mencionado aqui na Sinopse.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (08.09.15): Boletim publicado.

Page generated 2015-09-03 16:26Z-07:00.