• Artigo
  • 5 minutos para o fim da leitura

Modelo do MSRC ppDocument

Boletim de Segurança da Microsoft MS15-062 - Importante

Vulnerabilidade nos Serviços de Federação do Active Directory pode permitir a elevação de privilégio (3062577)

Publicado em: 09.06.2015

Versão: 1.0

Sinopse

Esta atualização de segurança resolve uma vulnerabilidade nos Serviços de Federação do Microsoft Active Directory (AD FS). A vulnerabilidade pode permitir a elevação de privilégio se um atacante executar uma URL especialmente criada para um site de destino. Devido à vulnerabilidade, em situações específicas, o script especialmente criado não é adequadamente limpo, o que subsequentemente pode levar à execução do script fornecido pelo atacante no contexto de segurança de um usuário que exiba o conteúdo mal-intencionado. Para ataques de script entre sites, esta vulnerabilidade requer que o usuário esteja visitando um site comprometido para que uma ação mal-intencionada ocorra.

Esta atualização de segurança foi classificada como Importante para os Serviços de Federação do Active Directory 2.0 e Serviços de Federação do Active Directory 2.1. Para obter mais informações, consulte a seção Software Afetado.

A atualização de segurança aborda a vulnerabilidade corrigindo como o AD FS manipula a codificação HTML de respostas HTTP. Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações sobre vulnerabilidade.

Para obter mais informações sobre essa atualização, consulte o artigo 3062577 da Base de Dados de Conhecimento da Microsoft.

Software Afetado

As seguinte versões ou edições de software foram afetadas. As versões ou edições que não estão listadas já passaram de seu ciclo de vida do suporte ou não foram afetadas. Para determinar o ciclo de vida do suporte para sua versão ou edição de software, visite o site Ciclo de vida do suporte da Microsoft

**Sistema operacional** **Componente** **Impacto máximo à segurança** **Avaliação de gravidade agregada** **Atualizações substituídas**\*
**Windows Server 2008**
Windows Server 2008 para sistemas de 32 bits Service Pack 2 [Serviços de Federação do Active Directory 2.0](http://www.microsoft.com/downloads/details.aspx?familyid=fed9bb17-6e50-42c0-bf38-8a2c931b3218) (3062577) Elevação de privilégio Importante 3003381 no [MS14-077](https://technet.microsoft.com/pt-br/library/security/ms14-077)
Windows Server 2008 Service Pack 2 para sistemas baseados em x64 [Serviços de Federação do Active Directory 2.0](http://www.microsoft.com/downloads/details.aspx?familyid=b1b8f12a-608b-4f53-9bda-d0f4d40fe7a3) (3062577) Elevação de privilégio Importante 3003381 no [MS14-077](https://technet.microsoft.com/pt-br/library/security/ms14-077)
**Windows Server 2008 R2**
Windows Server 2008 R2 para Sistemas baseados em x64 Service Pack 1 [Serviços de Federação do Active Directory 2.0](http://www.microsoft.com/downloads/details.aspx?familyid=dc257fab-1dc5-4df4-8002-18af0f3d96ce) (3062577) Elevação de privilégio Importante 3003381 no [MS14-077](https://technet.microsoft.com/pt-br/library/security/ms14-077)
**Windows Server 2012**
Windows Server 2012 [Serviços de Federação do Active Directory 2.1](http://www.microsoft.com/downloads/details.aspx?familyid=90e4c154-0921-427e-b8a8-a61b59839e10) (3062577) Elevação de privilégio Importante 3003381 no [MS14-077](https://technet.microsoft.com/pt-br/library/security/ms14-077)
\* A coluna Atualizações substituídas mostra somente a atualização mais recente em uma cadeia de atualizações substituídas. Para um lista abrangente de atualizações substituídas, vá até o [Catálogo Microsoft Update](http://catalog.update.microsoft.com/v7/site/home.aspx), procure pelo número da KB da atualização e depois visualize os detalhes da atualização (as informações sobre as atualizações substituídas estão na guia Detalhes do Pacote).

Classificação de gravidade e Identificadores de vulnerabilidade

As classificações de gravidade a seguir pressupõem o impacto máximo possível da vulnerabilidade. Para obter informações referentes à probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto à segurança, em até 30 dias a partir do lançamento deste boletim de segurança, consulte o Índice de exploração no resumo de boletins de junho.

**A Classificação de gravidade de vulnerabilidade e Impacto máximo de segurança por software afetado**
**Software Afetado** [**Vulnerabilidade de elevação de privilégio do ADFS XSS - CVE-2015-1757**](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-1757) **Avaliação de gravidade agregada**
**Windows Server 2008**
Serviços de Federação do Active Directory 2.0 quando instalados em Windows Server 2008 Service Pack 2 para sistemas de 32 bits **Importante**  Elevação de privilégio **Importante**
Serviços de Federação do Active Directory 2.0 quando instalados em Windows Server 2008 Service Pack 2 para sistemas baseados em x64 **Importante**  Elevação de privilégio **Importante**
**Windows Server 2008 R2**
Serviços de Federação do Active Directory 2.0 quando instalado no Windows Server 2008 R2 Service Pack 1 para sistemas baseados em x64 **Importante**  Elevação de privilégio **Importante**
**Windows Server 2012**
Serviços de Federação do Active Directory 2.1 quando instalados no Windows Server 2012 **Importante**  Elevação de privilégio **Importante**

Informações sobre a vulnerabilidade

Vulnerabilidade de elevação de privilégio do ADFS XSS - CVE-2015-1757

Existe uma elevação de privilégio na forma que as URLs são limpas nos Serviços de Federação do Active Directory (AD FS). Um atacante que explorar com êxito esta vulnerabilidade pode realizar ataques de script entre sites e executar scripts no contexto de segurança do usuário conectado.

Para explorar esta vulnerabilidade, um atacante precisa ter a capacidade de enviar uma URL especialmente criada para um site de destino. Devido à vulnerabilidade, em situações específicas, o script especialmente criado não é adequadamente limpo, o que subsequentemente pode levar à execução do script fornecido pelo atacante no contexto de segurança de um usuário que exiba o conteúdo mal-intencionado. Para ataques de script entre sites, esta vulnerabilidade requer que o usuário esteja visitando um site comprometido para que uma ação mal-intencionada ocorra. Por exemplo, depois que um atacante envia com êxito uma URL especialmente criada ao site de destino, qualquer página da Web nesse site que contenha a URL script especialmente criada se torna um vetor potencial para ataques persistentes de script entre sites. Quando um usuário visita uma página da Web que contém a URL especialmente criada, o script pode ser executado no contexto de segurança do usuário.

A atualização de segurança aborda a vulnerabilidade corrigindo como o AD FS manipula a codificação HTML de respostas HTTP.

A Microsoft recebeu informações sobre esta vulnerabilidade por meio da divulgação coordenada de vulnerabilidades. Quando esse boletim de segurança foi originalmente emitido, a Microsoft ainda não tinha recebido informações que indicassem que a vulnerabilidade tinha sido usada de forma pública para atacar clientes.

Fatores atenuantes

A Microsoft não identificou quaisquer fatores atenuantes para essa vulnerabilidade.

Soluções alternativas

As seguintes soluções alternativas podem ser úteis em seu caso:

  • Use um firewall de aplicativo da Web para bloquear solicitações suspeitas

    Use um firewall de aplicativo da Web (WAF) para bloquear solicitações para adfs/ls onde o parâmetro de consulta "wct" contém código HTML de marcação ou javascript.

    Por exemplo:

        /adfs/ls/?wa=wsignin1.0&wtrealm=https%3a%2f%2fsomesite.example.com%2fRefinishUserAdmin%2f&  wctx=rm%3d0%26id%3dpassive%26ru%3d%252fRefinishUserAdmin%252f%253fwhr%253dhttp%253a%252f%252fsso.example.com%252fadfs%252fservices%252ftrust&  wct=2014-12-11T07%3a20%3a58Z78b0f<script>alert("hello")<%2fscript>b032e&whr=http%3a%2f%2fsso.example.com%2fadfs%2fservices%2ftrust

Implantação de atualização de segurança

Para obter informações sobre Implementação de atualizações de segurança, consulte o artigo da Base de Dados de Conhecimento da Microsoft mencionado aqui no Sinopse.

Agradecimentos

A Microsoft reconhece os esforços dos membros da comunidade de segurança que nos ajudam a proteger os consumidores graças à divulgação responsável de vulnerabilidades. Consulte Agradecimentos para obter mais informações.

Aviso de isenção de responsabilidade

As informações fornecidas na Base de Dados de Conhecimento da Microsoft são apresentadas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (09.06.2015): Boletim publicado.

Página gerada 03.06.15 11:32Z-07:00.