Beveiligingsproblemen in Microsoft Exchange Server kunnen openbaarmaking van informatie toestaan (3089250)
Gepubliceerd: 8 september 2015
Versie: 1.0
Samenvatting
Met deze beveiligingsupdate worden beveiligingsproblemen in Microsoft Exchange Server opgelost. De ernstigste beveiligingsproblemen kunnen openbaarmaking van informatie toestaan als Outlook Web Access (OWA) webaanvragen niet goed kan verwerken en gebruikersinvoer en e-mailinhoud opschonen.
Deze beveiligingsupdate heeft de classificatie Belangrijk voor alle ondersteunde edities van Microsoft Exchange Server 2013. Zie de sectie Beïnvloede software voor meer informatie.
Met de beveiligingsupdate worden de beveiligingsproblemen opgelost door te corrigeren hoe Microsoft Exchange OWA webaanvragen verwerkt en door ervoor te zorgen dat gebruikersinvoer en e-mailinhoud correct worden opgeschoond in OWA. Zie de sectie Informatie over beveiligingsproblemen voor meer informatie over de beveiligingsproblemen.
De volgende softwareversies of -edities worden beïnvloed. Versies of edities die niet worden vermeld, vallen na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
*De kolom Updates vervangen toont alleen de meest recente update in een keten van vervangen updates. Voor een uitgebreide lijst met updates die zijn vervangen, gaat u naar de Microsoft Update-catalogus, zoekt u naar het KB-nummer van de update en bekijkt u de updategegevens (informatie over de vervangen updates vindt u op het tabblad Pakketdetails).
Veelgestelde vragen over bijwerken
Bevat deze update aanvullende beveiligingsgerelateerde wijzigingen in functionaliteit?
Naast de wijzigingen die worden vermeld voor de beveiligingsproblemen die in dit bulletin worden beschreven, bevat deze update diepgaande updates ter verbetering van beveiligingsfuncties.
Ernstclassificaties en id's voor beveiligingsproblemen
Bij de volgende ernstclassificaties wordt uitgegaan van de mogelijke maximale impact van het beveiligingsprobleem. Voor informatie over de waarschijnlijkheid, binnen 30 dagen na de release van dit beveiligingsbulletin, van de exploiteerbaarheid van het beveiligingsprobleem in relatie tot de ernstclassificatie en beveiligingsimpact, raadpleegt u de Exploitability Index in de samenvatting van het bulletin van september.
Ernstclassificatie van beveiligingsproblemen en maximale beveiligingsimpact door betrokken software
Microsoft Exchange Server 2013 Service Pack 1 (3087126)
Belangrijke openbaarmaking van informatie
Niet van toepassing
Belangrijke adresvervalsing
Belangrijk
Cumulatieve update 8 van Microsoft Exchange Server 2013 (3087126)
Belangrijke openbaarmaking van informatie
Belangrijke adresvervalsing
Belangrijke adresvervalsing
Belangrijk
Cumulatieve update 9 van Microsoft Exchange Server 2013 (3087126)
Belangrijke openbaarmaking van informatie
Belangrijke adresvervalsing
Belangrijke adresvervalsing
Belangrijk
Informatie over het beveiligingsprobleem
Beveiligingsprobleem met openbaarmaking van Exchange-informatie - CVE-2015-2505
Er bestaat een beveiligingsprobleem met betrekking tot openbaarmaking van informatie in Microsoft Exchange Server wanneer Outlook Web Access (OWA) webaanvragen niet goed kan verwerken. Een aanvaller die het beveiligingsprobleem heeft misbruikt, kan stacktrace-details detecteren.
Om het beveiligingsprobleem te misbruiken, moet een aanvaller een speciaal gemaakte webtoepassingsaanvraag maken en deze vervolgens indienen bij een webtoepassing. Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door te corrigeren hoe Webaanvragen worden verwerkt in Microsoft Exchange OWA.
Microsoft heeft informatie ontvangen over het beveiligingsprobleem via gecoördineerde openbaarmaking van beveiligingsproblemen. Toen dit beveiligingsbulletin werd uitgegeven, had Microsoft geen informatie ontvangen om aan te geven dat dit beveiligingsprobleem openbaar is gebruikt om klanten aan te vallen.
Factoren beperken
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Beveiligingsproblemen met meerdere Exchange-adresvervalsingen
Spoofing-beveiligingsproblemen bestaan in Microsoft Exchange Server wanneer OWA speciaal gemaakte e-mail niet goed opschoont. Een geverifieerde aanvaller kan misbruik maken van de beveiligingsproblemen door een speciaal ontworpen e-mailbericht naar een gebruiker te verzenden. Een aanvaller kan vervolgens HTML-injectieaanvallen uitvoeren op betrokken systemen en proberen de gebruiker te misleiden bij het vrijgeven van gevoelige informatie.
Als u misbruik wilt maken van de beveiligingsproblemen, moet de gebruiker op een speciaal gemaakte URL klikken. In een e-mailaanvalsscenario kan een aanvaller een e-mailbericht met de speciaal gemaakte URL naar de gebruiker verzenden via OWA in een poging om de gebruiker ervan te overtuigen erop te klikken.
In een aanvalsscenario op internet kan een aanvaller een kwaadwillende website hosten die is ontworpen om te worden weergegeven als een legitieme website voor de gebruiker. De aanvaller kan de gebruiker echter niet dwingen om de schadelijke website te bezoeken. De aanvaller moet de gebruiker overtuigen om de schadelijke website te bezoeken, meestal door de gebruiker te verleiden om te klikken op een koppeling in een chatbericht of e-mailbericht dat de gebruiker naar de schadelijke website van de aanvaller brengt en vervolgens de gebruiker ervan overtuigen om te communiceren met inhoud op de schadelijke website.
Met de beveiligingsupdate worden de beveiligingsproblemen opgelost door ervoor te zorgen dat e-mailinhoud in OWA correct wordt opgeschoond.
De volgende tabel bevat koppelingen naar de standaardvermelding voor elk beveiligingsprobleem in de lijst algemene beveiligingsproblemen en blootstellingen:
Microsoft heeft geen beperkende factoren geïdentificeerd voor deze beveiligingsproblemen.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor deze beveiligingsproblemen geïdentificeerd.
Implementatie van beveiligingsupdates
Zie het Microsoft Knowledge Base-artikel waarnaar wordt verwezen in het executive-overzicht voor informatie over de implementatie van beveiligingsupdates.
Erkenningen
Microsoft herkent de inspanningen van degenen in de beveiligingscommunity die ons helpen klanten te beschermen via gecoördineerde openbaarmaking van beveiligingsproblemen. Zie Bevestigingen voor meer informatie.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.
As an Information Security Administrator, you plan and implement information security of sensitive data by using Microsoft Purview and related services. You’re responsible for mitigating risks by protecting data inside collaboration environments that are managed by Microsoft 365 from internal and external threats and protecting data used by AI services. You also implement information protection, data loss prevention, retention, insider risk management, and manage information security alerts and activities.