安全公告
Microsoft 安全咨询2401593
Outlook Web 访问中的漏洞可能允许提升权限
发布时间: 2010 年 9 月 14 日
版本: 1.0
常规信息
执行摘要
Microsoft 已完成对 Outlook Web Access(OWA)中公开披露的漏洞的调查,这些漏洞可能会影响 Microsoft Exchange 客户。 成功利用此漏洞的攻击者可能会劫持经过身份验证的 OWA 会话。 然后,攻击者可以在活动 OWA 会话的安全上下文中代表经过身份验证的用户执行操作,而无需了解用户。
此漏洞影响受支持的 Microsoft Exchange Server 2003 和 Microsoft Exchange Server 2007 版本(Microsoft Exchange Server 2007 Service Pack 3 除外)。 Microsoft Exchange Server 2000、Microsoft Exchange Server 2007 Service Pack 3 和 Microsoft Exchange Server 2010 不受漏洞影响。 有关详细信息,请参阅“受影响的和非受影响的软件”部分。
Microsoft 建议运行受影响的 Microsoft Exchange Server 版本的客户升级到受影响的 Microsoft Exchange Server 版本以解决漏洞。 目前无法升级的客户可以参阅“ 解决方法 ”部分,了解可帮助限制攻击者如何利用漏洞的选项。
目前,我们不知道任何试图利用此漏洞的攻击。 如果情况发生变化,我们将继续监视威胁形势并更新此公告。
咨询详细信息
问题参考
有关此问题的详细信息,请参阅以下参考:
| 参考 | 标识 |
|---|---|
| CVE 参考 | CVE-2010-3213 |
受影响的和非受影响的软件
此公告讨论以下软件。
| 受影响的软件 |
| Microsoft Exchange Server 2003 Service Pack 2 |
| Microsoft Exchange Server 2007 Service Pack 1 |
| Microsoft Exchange Server 2007 Service Pack 2 |
| 受影响的软件 |
| Microsoft Exchange Server 2000 Service Pack 3 |
| Microsoft Exchange Server 2007 Service Pack 3 |
| Microsoft Exchange Server 2010 |
| Microsoft Exchange Server 2010 Service Pack 1 |
常见问题
公告的范围是什么?
Microsoft 知道影响 Microsoft Exchange Server Outlook Web Access(OWA)的新漏洞报告。 这会影响“受影响的软件” 部分中列出的软件 。
什么是 Exchange Outlook Web Access (OWA)?
Outlook Web Access (OWA) 是 Microsoft Exchange Server 5.0 及更高版本的 Web 邮件服务。 Outlook Web Access 的 Web 界面类似于 Microsoft Outlook 中的界面。 Outlook Web Access 是 Microsoft Exchange Server 的一部分。
造成此威胁的原因是什么?
在某些情况下,攻击者可能会劫持经过身份验证的 OWA 会话,以代表用户执行操作,而无需用户知情。
攻击者可能使用此漏洞执行哪些操作?
成功利用此漏洞的攻击者可以在活动 OWA 会话的安全上下文中代表经过身份验证的用户执行操作,例如读取电子邮件、添加新收件箱规则或更改 OWA 用户首选项。
攻击者如何利用漏洞?
攻击者可以通过说服目标用户在活动 OWA 会话期间专门为目标 Exchange 域创建的恶意网页来利用此漏洞。
为什么没有安全更新来解决此漏洞?
安全更新不可用,因为解决漏洞需要设计更改才能为 OWA 实施新的 http 请求验证框架,以帮助防止攻击者劫持用户的 OWA 会话。 Microsoft 已确定,将这种规模的设计更改引入到受影响的 Microsoft Exchange Server 版本中,将承担破坏客户环境不稳定和破坏风险的风险。
如果我使用的是更新不可用的产品版本,该怎么办?
运行受影响版本的 Microsoft Exchange Server 管理员istrators 应升级到 Microsoft Exchange Server 的非受影响版本。 Microsoft Exchange Server 2007 Service Pack 3 和 Microsoft Exchange Server 2010 不受漏洞影响。
目前无法升级的管理员管理员可以引用用于帮助限制攻击者如何利用漏洞的选项的解决方法部分。
我使用的是此安全公告中讨论的软件的较旧版本。 应采取何种操作?
此公告中列出的受影响的软件已经过测试,以确定哪些版本受到影响。 其他版本已超过其支持生命周期。 有关产品生命周期的详细信息,请访问Microsoft 支持部门生命周期网站。
对于具有较旧版本的软件的客户来说,这应该是一个优先事项,可以迁移到受支持的版本,以防止潜在的漏洞暴露。 若要确定软件版本的支持生命周期,请参阅 “选择产品生命周期信息”。 有关这些软件版本的 Service Pack 的详细信息,请参阅生命周期支持的 Service Pack。
需要旧版软件自定义支持的客户必须联系其 Microsoft 帐户团队代表、其技术客户经理或相应的 Microsoft 合作伙伴代表以获取自定义支持选项。 没有联盟、顶级或授权合同的客户可以与其当地的 Microsoft 销售办公室联系。 有关联系信息,请访问 Microsoft 全球信息网站,在“联系信息”列表中选择国家/地区,然后单击“转到”以查看电话号码列表。 呼叫时,请与当地顶级支持销售经理交谈。 有关详细信息,请参阅Microsoft 支持部门生命周期策略常见问题解答。
缓解因素和建议的操作
缓解因素
缓解是指在默认状态下存在的设置、常见配置或一般最佳做法,这可能会降低漏洞利用的严重性。 以下缓解因素可能对你的情况有所帮助:
- 在基于 Web 的攻击方案中,攻击者可以托管包含用于利用此漏洞的网页的网站。 此外,接受或托管用户提供的内容或广告的已泄露网站和网站可能包含可能利用此漏洞的特制内容。 但是,在所有情况下,攻击者都无法强制用户访问这些网站。 相反,攻击者必须说服用户访问该网站,通常是通过让他们单击电子邮件或即时信使消息中的链接,将用户带到攻击者的网站。
解决方法
以下解决方法是指一个设置或配置更改,该更改未纠正根本问题,但有助于限制攻击者可能使用漏洞执行的操作。
请注意 ,这些解决方法不会阻止已知的攻击途径,而是通过有选择地禁用功能来帮助限制攻击者如何利用漏洞。
使用分段禁用规则
可以按服务器执行分段以更改 Outlook Web Access 的功能。 若要防止攻击者利用 Outlook Web Access 中的某些功能,管理员istrators 可以选择实施分段以选择性地禁用功能。
有关如何在 Microsoft Exchange Server 2007 中使用分段禁用规则的信息,请参阅 TechNet 文章: 如何在 Outlook Web Access 中管理分段。
有关如何在 Microsoft Exchange Server 2003 中使用分段禁用规则的信息,请参阅 Microsoft 知识库文章 833340。
解决方法的影响。 禁用规则将阻止攻击者通过 OWA 修改用户的规则,防止数据外泄。 但是,攻击者仍然可以修改用户的其他选项。 实现此解决方法后,用户将无法再使用 OWA 创建或更新规则。 现有规则将继续运行。 此解决方法的影响仅影响 Outlook Web Access 中的功能,而不会影响 Outlook 客户端中的功能。
使用 UrlScan 禁用“选项”面板
实现此解决方法将阻止攻击者通过 OWA 查看或修改任何 Exchange 选项,从而阻止针对此公告中所述的漏洞的已知攻击。
有关如何使用 UrlScan 禁用“选项”面板的信息,请参阅 Microsoft 知识库文章2299129。
解决方法的影响。 用户将无法再使用 OWA 修改 Exchange 选项。 禁用选项还会禁用规则,如上所述。 此解决方法的影响仅影响 Outlook Web Access 中的功能,而不会影响 Outlook 客户端中的功能。
其他建议的操作
升级到受影响的 Microsoft Exchange Server 版本
Microsoft 建议运行受影响的 Microsoft Exchange Server 版本的客户升级到受影响的 Microsoft Exchange Server 版本以解决漏洞。 Microsoft Exchange Server 2007 Service Pack 3 和 Microsoft Exchange Server 2010 不受漏洞影响。
保持Windows 更新
所有 Windows 用户都应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果不确定软件是否是最新的,请访问Windows 更新,扫描计算机以获取可用更新,并安装你提供的任何高优先级更新。 如果启用了自动汇报,则更新会在发布时传送给你,但你必须确保安装它们。
其他信息
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站列在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中。
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关如何联系 Microsoft 以获取国际支持问题的详细信息,请访问 国际支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2010 年 9 月 14 日):已发布公告。
生成于 2014-04-18T13:49:36Z-07:00