Le vulnerabilità in Microsoft Exchange Server potrebbero consentire la divulgazione di informazioni (3089250)
Pubblicato: 8 settembre 2015
Versione: 1.0
Schema riepilogativo
Questo aggiornamento della sicurezza risolve le vulnerabilità in Microsoft Exchange Server. La più grave delle vulnerabilità potrebbe consentire la divulgazione di informazioni se Outlook Web Access (OWA) non riesce a gestire correttamente le richieste Web e sanificare l'input dell'utente e il contenuto della posta elettronica.
Questo aggiornamento della sicurezza è valutato Importante per tutte le edizioni supportate di Microsoft Exchange Server 2013. Per altre informazioni, vedere la sezione Software interessato.
L'aggiornamento della sicurezza risolve le vulnerabilità correggendo il modo in cui Microsoft Exchange OWA gestisce le richieste Web e assicurandosi che OWA sanifica correttamente l'input dell'utente e il contenuto della posta elettronica. Per altre informazioni sulle vulnerabilità, vedere la sezione Informazioni sulla vulnerabilità.
Sono interessate le versioni o le edizioni software seguenti. Le versioni o le edizioni non elencate superano il ciclo di vita del supporto o non sono interessate. Per determinare il ciclo di vita del supporto per la versione o l'edizione del software, vedere supporto tecnico Microsoft Ciclo di vita.
*La colonna Aggiornamenti Sostituito mostra solo l'aggiornamento più recente in qualsiasi catena di aggiornamenti sostituiti. Per un elenco completo degli aggiornamenti sostituiti, passare a Microsoft Update Catalog, cercare il numero kb di aggiornamento e quindi visualizzare i dettagli degli aggiornamenti (le informazioni sostituite vengono fornite nella scheda Dettagli pacchetto).
Domande frequenti su Aggiornamento
Questo aggiornamento contiene eventuali modifiche aggiuntive relative alla sicurezza alle funzionalità?
Oltre alle modifiche elencate per le vulnerabilità descritte in questo bollettino, questo aggiornamento include aggiornamenti approfonditi della difesa per migliorare le funzionalità correlate alla sicurezza.
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di settembre.
Valutazione della gravità della vulnerabilità e Impatto massimo sulla sicurezza da parte del software interessato
Microsoft Exchange Server 2013 Service Pack 1 (3087126)
Divulgazione di informazioni importanti
Non applicabile
Spoofing importante
Importante
Aggiornamento cumulativo 8 (3087126) di Microsoft Exchange Server 2013
Divulgazione di informazioni importanti
Spoofing importante
Spoofing importante
Importante
Aggiornamento cumulativo di Microsoft Exchange Server 2013 9 (3087126)
Divulgazione di informazioni importanti
Spoofing importante
Spoofing importante
Importante
Informazioni sulla vulnerabilità
Vulnerabilità di divulgazione di informazioni di Exchange - CVE-2015-2505
Esiste una vulnerabilità di divulgazione di informazioni in Microsoft Exchange Server quando Outlook Web Access (OWA) non riesce a gestire correttamente le richieste Web. Un utente malintenzionato che ha sfruttato correttamente la vulnerabilità potrebbe individuare i dettagli dello stacktrace.
Per sfruttare la vulnerabilità, un utente malintenzionato dovrà creare una richiesta di applicazione Web appositamente creata e quindi inviarla a un'applicazione Web. L'aggiornamento della sicurezza risolve la vulnerabilità correggendo il modo in cui Microsoft Exchange OWA gestisce le richieste Web.
Microsoft ha ricevuto informazioni sulla vulnerabilità tramite la divulgazione coordinata delle vulnerabilità. Quando è stato rilasciato questo bollettino sulla sicurezza, Microsoft non aveva ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti.
Fattori di mitigazione
Microsoft non ha identificato alcun fattore di mitigazione per questa vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Vulnerabilità di spoofing multiple di Exchange
Le vulnerabilità di spoofing esistono in Microsoft Exchange Server quando OWA non sanifica correttamente la posta elettronica creata appositamente. Un utente malintenzionato autenticato potrebbe sfruttare le vulnerabilità inviando un messaggio di posta elettronica appositamente creato a un utente. Un utente malintenzionato potrebbe quindi eseguire attacchi HTML injection sui sistemi interessati e tentare di ingannare l'utente a divulgare informazioni riservate.
Per sfruttare le vulnerabilità, l'utente deve fare clic su un URL appositamente creato. In uno scenario di attacco tramite posta elettronica, un utente malintenzionato potrebbe inviare un messaggio di posta elettronica contenente l'URL appositamente creato all'utente tramite OWA nel tentativo di convincere l'utente a fare clic su di esso.
In uno scenario di attacco basato sul Web, un utente malintenzionato potrebbe ospitare un sito Web dannoso progettato per apparire come un sito Web legittimo per l'utente. Tuttavia, l'utente malintenzionato non avrebbe modo di forzare l'utente a visitare il sito Web dannoso. L'utente malintenzionato dovrà convincere l'utente a visitare il sito Web dannoso, in genere invitando l'utente a fare clic su un collegamento in un messaggio di messaggistica istantanea o di posta elettronica che porta l'utente al sito Web dannoso dell'utente malintenzionato e quindi convincere l'utente a interagire con il contenuto nel sito Web dannoso.
L'aggiornamento della sicurezza risolve le vulnerabilità contribuendo a garantire che OWA sanififii correttamente il contenuto della posta elettronica.
La tabella seguente contiene collegamenti alla voce standard per ogni vulnerabilità nell'elenco Vulnerabilità ed esposizioni comuni:
Microsoft non ha identificato alcun fattore di mitigazione per queste vulnerabilità.
Soluzioni alternative
Microsoft non ha identificato soluzioni alternative per queste vulnerabilità.
Distribuzione degli aggiornamenti della sicurezza
Per informazioni sulla distribuzione degli aggiornamenti della sicurezza, vedere l'articolo della Microsoft Knowledge Base a cui si fa riferimento nel riepilogo esecutivo.
Riconoscimenti
Microsoft riconosce gli sforzi di coloro che si trovano nella community di sicurezza che ci aiutano a proteggere i clienti attraverso la divulgazione coordinata delle vulnerabilità. Per altre informazioni, vedere Riconoscimenti .
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.
Gli amministratori della sicurezza delle informazioni pianificano e implementano la sicurezza delle informazioni dei dati sensibili usando Microsoft Purview e i servizi correlati. L'utente è responsabile della mitigazione dei rischi proteggendo i dati all'interno di ambienti di collaborazione gestiti da Microsoft 365 da minacce interne ed esterne e proteggendo i dati usati dai servizi di intelligenza artificiale. Si implementa anche la protezione delle informazioni, la prevenzione della perdita dei dati, la