Microsoft Security Bulletin MS14-075 – Wichtig

Sicherheitsrisiken in Microsoft Exchange Server können Rechteerweiterungen ermöglichen (3009712)

Veröffentlicht: 9. Dezember 2014 | Aktualisiert: 12. Dezember 2014

Version: 3.0

Kurzfassung

Dieses Sicherheitsupdate behebt vier privat gemeldete Sicherheitsrisiken in Microsoft Exchange Server. Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann rechteerweiterungen ermöglichen, wenn ein Benutzer auf eine speziell gestaltete URL klickt, die sie zu einer zielorientierten Outlook Web App Website führt. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch einer speziell gestalteten Website zu zwingen. Stattdessen müsste ein Angreifer ihn davon überzeugen, die Website zu besuchen, in der Regel, indem er ihn dazu bringt, auf einen Link in einer E-Mail- oder Instant Messenger-Nachricht zu klicken, die ihn zur Website des Angreifers führt, und ihn dann dazu bringen, auf die speziell gestaltete URL zu klicken.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft Exchange Server 2007, Microsoft Exchange Server 2010 und Microsoft Exchange Server 2013 als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .

Das Sicherheitsupdate behebt die Sicherheitsrisiken, indem sichergestellt wird, dass Outlook Web App Anforderungstoken ordnungsgemäß überprüft, und indem sichergestellt wird, dass die URLs ordnungsgemäß beseitigt werden. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .

Weitere Informationen zu diesem Dokument finden Sie im Microsoft Knowledge Base-Artikel 3009712.

 

Betroffene Software

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.

Software Maximale Sicherheitsbeeinträchtigung Bewertung des Aggregierten Schweregrads Updates ersetzt
Microsoft Server-Software
Microsoft Exchange Server 2007 Service Pack 3 (2996150) Erhöhung von Rechten Wichtig 2903911 in MS13-105
Microsoft Exchange Server 2010 Service Pack 3 (2986475) Erhöhung von Rechten Wichtig 2905616 in MS13-105
Microsoft Exchange Server 2013 Service Pack 1 (3011140) Erhöhung von Rechten Wichtig Keine
Microsoft Exchange Server kumulative Update 6 (3011140) von 2013 Erhöhung von Rechten Wichtig Keine

 

Häufig gestellte Fragen zum Aktualisieren

Enthält dieses Update nicht sicherheitsbezogene Änderungen an der Funktionalität?
Nein, Exchange Server 2013 Security Updates nur Korrekturen für die im Sicherheitsbulletin identifizierten Probleme enthalten.

Updaterollups für Exchange Server 2007 und Exchange Server 2010 enthalten möglicherweise zusätzliche neue Fixes. Kunden, die bei der Bereitstellung der kumulativen Updaterollups nicht auf dem neuesten Stand geblieben sind, können nach dem Anwenden dieses Updates neue Funktionen erhalten.

Schweregradbewertungen und Sicherheitsrisikobezeichner

Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Sicherheitsauswirkungen innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex in der Zusammenfassung des Bulletins vom Dezember.

Bewertung des Schweregrads der Sicherheitsrisiken und maximale Auswirkungen auf die Sicherheit durch betroffene Software
Betroffene Software Sicherheitsanfälligkeit in Outlook Web App token spoofing – CVE-2014-6319 Sicherheitsanfälligkeit in OWA XSS – CVE-2014-6325 Sicherheitsanfälligkeit in OWA XSS – CVE-2014-6326 Sicherheitsanfälligkeit in Exchange-URL-Umleitung – CVE-2014-6336 Bewertung des Aggregierten Schweregrads
Microsoft Server-Software
Microsoft Exchange Server 2007 Service Pack 3 Wichtig \ Spoofing Nicht verfügbar Nicht verfügbar Nicht verfügbar Wichtig 
Microsoft Exchange Server 2010 Service Pack 3 Wichtig \ Spoofing Nicht verfügbar Nicht verfügbar Nicht verfügbar Wichtig 
Microsoft Exchange Server 2013 Service Pack 1 Wichtig \ Spoofing Wichtig \ Rechteerweiterung Wichtig \ Rechteerweiterung Wichtig \ Spoofing Wichtig 
kumulatives update 6 von Microsoft Exchange Server 2013 Wichtig \ Spoofing Wichtig\ Rechteerweiterung Wichtig \ Rechteerweiterung Wichtig \ Spoofing Wichtig 

 

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in Outlook Web App token spoofing – CVE-2014-6319

In Exchange Server liegt ein Sicherheitsrisiko beim Spoofing von Token vor, wenn Microsoft Outlook Web App (OWA) ein Anforderungstoken nicht ordnungsgemäß überprüft. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die Sicherheitsanfälligkeit dann nutzen, um E-Mails zu senden, die anscheinend von einem anderen Benutzer als dem Angreifer stammen (z. B. von einer vertrauenswürdigen Quelle). Kunden, die über Outlook Web App auf ihre Exchange Server E-Mails zugreifen, sind in erster Linie durch dieses Sicherheitsrisiko gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass Outlook Web App Anforderungstoken ordnungsgemäß überprüft.

Microsoft hat Informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich veröffentlicht wurde. Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass Outlook Web App Anforderungstoken ordnungsgemäß überprüft.

Mildernde Faktoren

Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:

  • In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten, mit der versucht wird, diese Sicherheitsanfälligkeit auszunutzen. Außerdem könnten kompromittierte Websites und Websites, die von Benutzern bereitgestellte Inhalte oder Werbung akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer dazu zu zwingen, von Angreifern kontrollierte Inhalte anzuzeigen. Stattdessen müsste ein Angreifer Benutzer davon überzeugen, Maßnahmen zu ergreifen, in der Regel, indem er sie dazu bringt, auf einen Link in einer E-Mail- oder Instant Messenger-Nachricht zu klicken, die Benutzer zur Website des Angreifers führt.

Problemumgehungen

Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.

Mehrere OWA XSS-Sicherheitsrisiken

Sicherheitsrisiken bei der Erhöhung von Berechtigungen bestehen, wenn Microsoft Exchange Server Eingaben nicht ordnungsgemäß überprüft. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann skripts im Kontext des aktuellen Benutzers ausführen. Ein Angreifer könnte beispielsweise Inhalte lesen, für die der Angreifer nicht autorisiert ist, die Identität des Opfers verwenden, um aktionen auf der Outlook Web App Website im Namen des Opfers zu ergreifen, z. B. Berechtigungen ändern und Inhalte löschen, und schädliche Inhalte in den Browser des Opfers einfügen. Jedes System, das für den Zugriff auf eine betroffene Version von Outlook Web App verwendet wird, ist potenziell angriffsgefährdend. Das Update behebt die Sicherheitsanfälligkeiten, indem sichergestellt wird, dass URLs ordnungsgemäß bebereinigt werden.

Damit diese Sicherheitsanfälligkeiten ausgenutzt werden können, muss ein Benutzer auf eine speziell gestaltete URL klicken, die den Benutzer zu einer zielorientierten Outlook Web App Website führt.

In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsrisiken ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer der Zielwebsite Outlook Web App sendet und den Benutzer dazu verredet, auf die speziell gestaltete URL zu klicken.

In einem webbasierten Angriffsszenario muss ein Angreifer eine Website hosten, die eine speziell gestaltete URL für die Zielwebsite Outlook Web App enthält, die zum Ausnutzen dieser Sicherheitsanfälligkeiten verwendet wird. Außerdem könnten kompromittierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeiten ausnutzen könnten. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch einer speziell gestalteten Website zu zwingen. Stattdessen müsste ein Angreifer ihn davon überzeugen, die Website zu besuchen, in der Regel, indem er ihn dazu bringt, auf einen Link in einer E-Mail- oder Instant Messenger-Nachricht zu klicken, die ihn zur Website des Angreifers führt, und ihn dann dazu bringen, auf die speziell gestaltete URL zu klicken.

Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:

Titel der Sicherheitslücke CVE-Nummer Öffentlich offengelegt Genutzt
OWA XSS-Sicherheitsrisiko CVE-2014-6325 Nein Nein
OWA XSS-Sicherheitsrisiko CVE-2014-6326 Nein Nein

 

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsrisiken identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für diese Sicherheitsrisiken identifiziert.

Sicherheitsanfälligkeit in Exchange-URL-Umleitung – CVE-2014-6336

In Microsoft Exchange liegt ein Sicherheitsrisiko für Spoofing vor, wenn Microsoft Outlook Web App (OWA) Umleitungstoken nicht ordnungsgemäß überprüft. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann einen Benutzer über einen Link, der aus der Domäne des Benutzers stammt, zu einer beliebigen Domäne umleiten. Ein Angreifer könnte die Sicherheitsanfälligkeit nutzen, um E-Mails zu senden, die anscheinend von einem anderen Benutzer als dem Angreifer stammen. Kunden, die über Outlook Web App auf ihre Exchange Server E-Mails zugreifen, sind in erster Linie durch dieses Sicherheitsrisiko gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass DIE URLs ordnungsgemäß entsundet werden.

Microsoft hat Informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich veröffentlicht wurde. Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass DIE URLs ordnungsgemäß entsundet werden.

Mildernde Faktoren

Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:

  • Um den schädlichen Link zu generieren, muss ein Angreifer bereits ein authentifizierter Exchange-Benutzer sein und E-Mail-Nachrichten senden können.
  • Der schädliche Link könnte in einer E-Mail gesendet werden, aber der Angreifer müsste den Benutzer überzeugen, den Link zu öffnen, um die Sicherheitsanfälligkeit auszunutzen.

Problemumgehungen

Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (9. Dezember 2014): Bulletin veröffentlicht.
  • V2.0 (10. Dezember 2014): Das Bulletin wurde überarbeitet, um den Download Center-Link für das Microsoft-Sicherheitsupdate 2986475 für Microsoft Exchange Server 2010 Service Pack 3 zu entfernen, um ein bekanntes Problem mit dem Update zu beheben. Microsoft arbeitet an der Behebung des Problems und aktualisiert dieses Bulletin, wenn weitere Informationen verfügbar sind. Microsoft hat update 2986475 entfernt und empfiehlt Kunden, update 2986475 zu deinstallieren, wenn sie es bereits installiert haben.
  • V3.0 (12. Dezember 2014): Erneut veröffentlichtes Bulletin, um die erneute Einführung des Microsoft-Sicherheitsupdates 2986475 für Microsoft Exchange Server 2010 Service Pack 3 anzukündigen. Das erneut veröffentlichte Update behebt ein bekanntes Problem im ursprünglichen Angebot. Kunden, die das ursprüngliche Update deinstalliert haben, sollten die aktualisierte Version von 2986475 so früh wie möglich installieren.

Seite generiert 2015-01-14 11:56Z-08:00.