Microsoft Security Bulletin MS15-064 – Hoch

Sicherheitsanfälligkeiten in Microsoft Exchange Server können die Erhöhung von Berechtigungen ermöglichen (3062157)

Veröffentlicht: 9. Juni 2015

Version: 1.0

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Microsoft Exchange Server. Die schwerwiegendste Sicherheitsanfälligkeit kann die Erhöhung von Berechtigungen ermöglichen, wenn ein authentifizierter Benutzer auf einen Link zu einer speziell gestalteten Webseite klickt. Ein Angreifer kann Benutzer nicht zum Besuch einer bestimmten Website zwingen. Vielmehr muss ein Angreifer die Benutzer dazu verleiten, auf den Link zu klicken. Zu diesem Zweck werden Benutzer normalerweise durch Lockangebote dazu gebracht, auf einen Link in einer E-Mail-Nachricht oder einer Instant Messenger-Nachricht zu klicken.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Microsoft Exchange Server 2013 als Hoch eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software.

Das Update behebt die Sicherheitsanfälligkeiten durch:

  • Ändern, wie Exchange-Webanwendungen SOP (Same-Origin Policy) verwalten
  • Ändern, wie Exchange-Webanwendungen die Authentifizierung von Benutzersitzungen verwalten
  • Korrigieren, wie Exchange-Webanwendungen HTML-Zeichenfolgen bereinigen

Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie im Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Weitere Informationen zu diesem Dokument finden Sie im Microsoft Knowledge Base-Artikel 3062157

 

Betroffene Software

Die folgenden Softwareversionen oder -Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln. 

**Software** **Maximale Sicherheitsauswirkung** **Bewertung des Gesamtschweregrads** **Ersetzte Updates**
**Microsoft Server-Software**
[Microsoft Exchange Server 2013 Service Pack 1](https://www.microsoft.com/de-de/download/details.aspx?id=47586) (3062157) Erhöhung von Berechtigungen Hoch Keine
[Kumulatives Update 8 für Microsoft Exchange Server 2013](https://www.microsoft.com/de-de/download/details.aspx?id=47587)  (3062157) Erhöhung von Berechtigungen Hoch Keine
 

Häufig gestellte Fragen (FAQs) zu diesem Update

Enthält dieses Update weitere nicht sicherheitsbezogene Funktionsänderungen?
Nein, Sicherheitsupdates für Exchange Server 2013 enthalten nur Problembehebungen für die Probleme, die im Security Bulletin identifiziert sind.

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeiten

Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für Juni.

**Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software**
**Betroffene Software** [**Sicherheitsanfälligkeit in Exchange durch Fälschung serverseitiger Anforderungen – CVE-2015-1764**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1764) [**Sicherheitsanfälligkeit in Exchange durch Fälschung siteübergreifender Anforderungen – CVE-2015-1771**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1771) [**Sicherheitsanfälligkeit in Exchange durch Einschleusung von HTML-Code – CVE-2015-2359**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2359) **Bewertung des Gesamtschweregrads**
**Microsoft Server-Software**
Microsoft Exchange Server 2013 Service Pack 1 (3062157) **Hoch** Offenlegung von Informationen **Hoch** Erhöhung von Berechtigungen Nicht anwendbar **Hoch** 
Microsoft Exchange Server 2013 Kumulatives Update 8 (3062157) **Hoch** Offenlegung von Informationen **Hoch** Erhöhung von Berechtigungen **Hoch** Offenlegung von Informationen **Hoch** 
 

Informationen zu Sicherheitsanfälligkeiten

Sicherheitsanfälligkeit in Exchange durch Fälschung serverseitiger Anforderungen – CVE-2015-1764

In Webanwendungen für Microsoft Exchange liegt eine Sicherheitsanfälligkeit durch Offenlegung von Informationen vor, wenn Exchange SOP nicht ordnungsgemäß verwaltet. Ein Angreifer kann diese Sicherheitsanfälligkeit bezüglich Fälschung serverseitiger Anforderungen (Server-Side Request Forgery, SSRF) mithilfe einer speziell gestalteten Webanwendungsanforderung ausnutzen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann dann Folgendes tun:

  • Systeme hinter einer Firewall, die normalerweise nicht von außen zugänglich sind, scannen und angreifen
  • Dienste, die auf diesen Hostsystemen ausgeführt werden, auflisten und angreifen
  • Hostbasierte Authentifizierungsdienste ausnutzen

In erster Linie sind Exchange-Webanwendungen von dieser Sicherheitsanfälligkeit betroffen. Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Exchange-Webanwendungen SOP verwalten.

Microsoft hat durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit Informationen zu dieser Sicherheitsanfälligkeit erhalten. Microsoft lagen zum Zeitpunkt der Veröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen.

Sicherheitsanfälligkeit in Exchange durch Fälschung siteübergreifender Anforderungen – CVE-2015-1771

In Webanwendungen für Microsoft Exchange liegt eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen vor, wenn Exchange Benutzersitzungen nicht ordnungsgemäß verwaltet. Um diese Sicherheitsanfälligkeit durch Fälschung siteübergreifender Anforderungen (Cross-site Request Forgery, CSRF/XSRF) ausnutzen zu können, muss sich das Opfer bei der Zielwebsite authentifiziert (angemeldet) haben.

In einem webbasierten Angriffsszenario kann ein Angreifer eine Website einrichten (oder eine manipulierte Website nutzen, die von Benutzern bereitgestellte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Webseite enthält, über die diese Sicherheitsanfälligkeit ausgenutzt werden kann. Ein Angreifer kann Benutzer nicht zum Besuch einer bestimmten Website zwingen. Vielmehr muss ein Angreifer die Benutzer dazu verleiten, auf den Link zu klicken. Zu diesem Zweck werden Benutzer normalerweise durch Lockangebote dazu gebracht, auf einen Link in einer E-Mail-Nachricht oder einer Instant Messenger-Nachricht zu klicken. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Inhalte lesen, für die der Angreifer keine Leseberechtigungen besitzt, die Identität des Opfers verwenden, um Aktionen in der Webanwendung im Namen des Opfers vorzunehmen (wie z. B. Berechtigungen ändern und Inhalte löschen) und schädlichen Inhalt in den Browser des Opfers einschleusen.

In erster Linie sind Exchange-Webanwendungen von dieser Sicherheitsanfälligkeit betroffen. Das Update behebt die Sicherheitsanfälligkeit, indem geändert wird, wie Exchange-Webanwendungen die Authentifizierung von Benutzersitzungen verwalten.

Microsoft hat durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit Informationen zu dieser Sicherheitsanfälligkeit erhalten. Microsoft lagen zum Zeitpunkt der Veröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen.

Sicherheitsanfälligkeit in Exchange durch Einschleusung von HTML-Code – CVE-2015-2359

In Webanwendungen für Microsoft Exchange liegt eine Sicherheitsanfälligkeit durch Offenlegung von Informationen vor, wenn Exchange HTML-Zeichenfolgen nicht ordnungsgemäß bereinigt. Um diese Sicherheitsanfälligkeit bezüglich Einschleusung von HTML-Code ausnutzen zu können, muss der Angreifer ein speziell gestaltetes Skript an eine Zielwebsite senden, die HTML-Bereinigung verwendet. Wenn die Sicherheitsanfälligkeit vorhanden ist, wird das speziell gestaltete Skript in bestimmten Situationen nicht richtig bereinigt. Das vom Angreifer bereitgestellte Skript könnte dann im Sicherheitskontext eines Benutzers ausgeführt werden, der den schädliche Inhalt auf der Website anzeigt.

Bei Angriffen durch Einschleusung von HTML-Code muss ein Benutzer eine schädliche Website besuchen, damit schädliche Aktionen auftreten. Nachdem z. B. ein Angreifer erfolgreich ein speziell gestaltetes Skript an eine Zielwebsite, auf der HTML-Bereinigung verwendet wird, gesendet hat, ist jede Webseite auf dieser Website, die das speziell gestaltete Skript enthält, ein potenzieller Vektor für beständige Angriffe bezüglich siteübergreifender Skripterstellung. Wenn ein Benutzer eine Webseite besucht, die das speziell gestaltete Skript enthält, kann das Skript im Sicherheitskontext des Benutzers ausgeführt werden.

Systeme, bei denen Benutzer eine Verbindung zu einer Site herstellen, auf der HTML-Zeichenfolgen bereinigt werden, wie z. B. Arbeitsstationen oder Terminalserver, sind hauptsächlich gefährdet. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem korrigiert wird, wie Exchange-Webanwendungen HTML-Zeichenfolgen bereinigen.

Microsoft hat durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit Informationen zu dieser Sicherheitsanfälligkeit erhalten. Microsoft lagen zum Zeitpunkt der Veröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Kurzzusammenfassung verwiesen wird.

Danksagung

Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung

Haftungsausschluss

Die Informationen in der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (9. Juni 2015): Bulletin veröffentlicht.

Seite generiert am 03.06.2015 um 12:16Z-07:00.