Microsoft Security Bulletin MS15-026 – Wichtig
Sicherheitsrisiken in Microsoft Exchange Server können Rechteerweiterungen ermöglichen (3040856)
Veröffentlicht: 10. März 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Microsoft Exchange Server. Die schwerwiegendsten Sicherheitsrisiken können rechteerweiterungen ermöglichen, wenn ein Benutzer auf eine speziell gestaltete URL klickt, die sie zu einer zielorientierten Outlook Web App Website führt. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch einer speziell gestalteten Website zu zwingen. Stattdessen müsste ein Angreifer ihn davon überzeugen, die Website zu besuchen, in der Regel, indem er ihn dazu bringt, auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht zu klicken, die ihn zur Website des Angreifers führt, und ihn dann davon überzeugen, auf die speziell gestaltete URL zu klicken.
Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft Exchange Server 2013 als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Exchange Server Seiteninhalte in Outlook Web App bereinigen, und indem korrigiert wird, wie Exchange die Authentizität des Besprechungsorganisators überprüft, wenn Besprechungsanfragen in Exchange-Kalendern akzeptiert, geplant oder geändert werden. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Weitere Informationen zu diesem Dokument finden Sie im Microsoft Knowledge Base-Artikel 3040856.
Betroffene Software
Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.
| Software | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt |
|---|---|---|---|
| Microsoft Server-Software | |||
| Microsoft Exchange Server 2013 Service Pack 1 (3040856) | Erhöhung von Rechten | Wichtig | Keine |
| kumulatives update 7 (3040856) Microsoft Exchange Server 2013 2013 | Erhöhung von Rechten | Wichtig | Keine |
Häufig gestellte Fragen zum Aktualisieren
**Enthält dieses Update nicht sicherheitsbezogene Änderungen an der Funktionalität? ** Nein, Exchange Server 2013 Security Updates nur Korrekturen für die im Sicherheitsbulletin identifizierten Probleme enthalten.
Schweregradbewertungen und Sicherheitsrisikobezeichner
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Sicherheitsauswirkungen innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzungsindex in der Zusammenfassung des Bulletins vom März.
| Bewertung des Schweregrads der Sicherheitsrisiken und maximale Auswirkungen auf die Sicherheit durch betroffene Software | ||||||
|---|---|---|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung bei canary-Parametern in OWA geändert – CVE-2015-1628 | Sicherheitsanfälligkeit in ExchangeDLP durch siteübergreifende Skripterstellung – CVE-2015-1629 | Sicherheitsanfälligkeit in Überwachungsberichten durch siteübergreifende Skripterstellung – CVE-2015-1630 | Sicherheitsanfälligkeit bezüglich Spoofing bei gefälschten Exchange-Besprechungsanforderungen – CVE-2015-1631 | Sicherheitsanfälligkeit bezüglich siteübergreifender Skripterstellung bei Exchange-Fehlermeldungen – CVE-2015-1632 | Bewertung des Aggregierten Schweregrads |
| Microsoft Server-Software | ||||||
| Microsoft Exchange Server 2013 Service Pack 1 (3040856) | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Spoofing | Wichtig Rechteerweiterung | Wichtig |
| kumulatives update 7 (3040856) Microsoft Exchange Server 2013 2013 | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Rechteerweiterung | Wichtig Spoofing | Wichtig Rechteerweiterung | Wichtig |
Informationen zu Sicherheitsrisiken
Mehrere OWA XSS-Sicherheitsrisiken
Sicherheitsrisiken bei der Erhöhung von Berechtigungen bestehen, wenn Microsoft Exchange Server Seiteninhalte in Outlook Web App nicht ordnungsgemäß bereinigen. Ein Angreifer könnte diese Sicherheitsanfälligkeiten ausnutzen, indem er bestimmte Eigenschaften innerhalb Outlook Web App ändert und dann Benutzer dazu verredet, zur Zielwebsite Outlook Web App zu navigieren. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann skripts im Kontext des aktuellen Benutzers ausführen. Das Skript könnte dann beispielsweise die Identität des Opfers verwenden, um Aktionen auf der betroffenen Outlook Web App Website im Namen des Opfers mit den gleichen Berechtigungen wie der aktuelle Benutzer auszuführen. Jedes System, das für den Zugriff auf eine betroffene Version von Outlook Web App verwendet wird, ist potenziell angriffsgefährdend. Das Update behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Exchange Server Seiteninhalte in Outlook Web App bereinigen.
Damit diese Sicherheitsanfälligkeiten ausgenutzt werden können, muss ein Benutzer auf eine speziell gestaltete URL klicken, die den Benutzer zu einer zielorientierten Outlook Web App Website führt.
In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsrisiken ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer der Zielwebsite Outlook Web App sendet und den Benutzer dazu verredet, auf die speziell gestaltete URL zu klicken.
In einem webbasierten Angriffsszenario muss ein Angreifer eine Website hosten, die eine speziell gestaltete URL für die Zielwebsite Outlook Web App enthält, die zum Ausnutzen dieser Sicherheitsanfälligkeiten verwendet wird. Außerdem könnten kompromittierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeiten ausnutzen könnten. Ein Angreifer hätte keine Möglichkeit, Benutzer zum Besuch einer speziell gestalteten Website zu zwingen. Stattdessen müsste ein Angreifer ihn davon überzeugen, die Website zu besuchen, in der Regel, indem er ihn dazu bringt, auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht zu klicken, die ihn zur Website des Angreifers führt, und ihn dann davon überzeugen, auf die speziell gestaltete URL zu klicken.
Die folgende Tabelle enthält Links zum Standardeintrag für die einzelnen Sicherheitsrisiken in der Liste Allgemeiner Sicherheitsrisiken:
| Titel der Sicherheitslücke | CVE-Nummer | Öffentlich offengelegt | Genutzt |
|---|---|---|---|
| Sicherheitsrisiko für cross siteübergreifende Skripterstellung durch OWA geänderte Canary-Parameter | CVE-2015-1628 | Nein | Nein |
| Sicherheitsanfälligkeit bei Cross Site Scripting in ExchangeDLP | CVE-2015-1629 | Nein | Nein |
| Sicherheitsrisiko bei siteübergreifender Skripterstellung im Überwachungsbericht | CVE-2015-1630 | Nein | Nein |
| Sicherheitsanfälligkeit bei Cross Site Scripting bei Exchange-Fehlermeldungen | CVE-2015-1632 | Nein | Nein |
Mildernde Faktoren
Microsoft hat keine mildernden Faktoren für diese Sicherheitsrisiken identifiziert.
Problemumgehungen
Problemumgehung für die Sicherheitsanfälligkeit in OWA Modified Canary Parameter Cross Site Scripting – CVE-2015-1628
Verwenden einer Web Application Firewall (WAF) zum Blockieren von Anforderungen an
<host>/owa/?ae=Item&t;=AD.RecipientType.User&id;=<id>Wobei das Cookie "X-OWA-Canary" ein doppeltes Anführungszeichen (), HTML-Markup oder JavaScript enthält.
Problemumgehung für die Sicherheitsanfälligkeit in exchange error message Cross Site Scripting – CVE-2015-1632
Verwenden einer Web Application Firewall (WAF) zum Blockieren von Anforderungen an</id></host><host>/errorfe.aspx?httpCode=500&ts;=130560784095001947&be;=DB4PR07MB0703&authError;=LiveConfigurationHRESULTException&msg;=GenericAuthErrorMessage&msgParam;=<param>Wobei der Abfrageparameter "msgParam" einen Javascript-URI enthält.
Sicherheitsanfälligkeit in exchange forged meeting request spoofing – CVE-2015-1631
In Exchange Server liegt ein Sicherheitsrisiko beim Spoofing vor, wenn Exchange beim Annehmen oder Ändern von Besprechungsanfragen die Identität des Besprechungsorganisators nicht ordnungsgemäß überprüft. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die Sicherheitsanfälligkeit dann nutzen, um Besprechungen zu planen oder zu ändern, während sie scheinbar von einem legitimen Besprechungsorganisator stammen. Kunden, die betroffene Versionen von Exchange Server verwenden, sind für diese Sicherheitsanfälligkeit gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Exchange die Authentizität des Besprechungsorganisators beim Annehmen, Planen oder Ändern von Besprechungsanfragen in Exchange-Kalendern überprüft.
Microsoft hat informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Security Bulletin veröffentlicht wurde, hatte Microsoft keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.
Schadensbegrenzende Faktoren
Microsoft hat keine mildernden Faktoren für dieses Sicherheitsrisiko identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen von Personen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Gewährleistung "wie ben" bereitgestellt. Microsoft lehnt jegliche Gewährleistungen ab, sei es ausdrücklich oder stillschweigend, einschließlich der Gewährleistungen der Marktgängigkeit und Eignung für einen bestimmten Zweck. In keinem Fall haften Die Microsoft Corporation oder ihre Lieferanten für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn Microsoft Corporation oder ihre Lieferanten auf die Möglichkeit solcher Schäden hingewiesen wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. März 2015): Bulletin veröffentlicht.
Seite generiert am 04.03.2015 13:08Z-08:00.