Heute wurde ein wichtiges Update für die folgenden Exchange Server Versionen veröffentlicht:
- Microsoft Exchange Server 2013 Service Pack 1
- Microsoft Exchange Server 2013 Cumulative Update 14
- Microsoft Exchange Server 2016 Cumulative Update 3
Interessant ist, dass die Exchange Versionen nicht mehr ganz aktuell sind. Es gibt bereits das CU4 für Exchange 2016, sowie CU15 für Exchange 2013.
Microsoft schreibt folgendes zur Schwachstelle und stuft das Sicherheitsupdate mit dem Schweregrad „Hoch“ ein:
https://technet.microsoft.com/library/security/MS17-015
Es besteht eine Sicherheitsanfälligkeit durch Rechteerweiterungen in Microsoft Exchange Outlook Web Access (OWA), da Webanforderungen nicht ordnungsgemäß verarbeitet werden. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Skript- oder Inhaltseinschleusungsangriffe durchführen und versuchen, den Benutzer zum Offenlegen vertraulicher Informationen zu verleiten.
Ein Angreifer kann diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete E-Mail mit einem schädlichen Link an einen Benutzer sendet. Alternativ könnte ein Angreifer einen Chat-Client nutzen, um einen Benutzer dazu zu verleiten, auf den schädlichen Link zu klicken.
Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Microsoft Exchange Webanforderungen überprüft.
HINWEIS: Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer auf einen schädlichen Link eines Angreifers klickt.
Hier geht es direkt zum Download der Updates:
- Security Update For Exchange Server 2013 SP1 (KB4012178)
- Security Update For Exchange Server 2013 CU14 (KB4012178)
- Security Update For Exchange Server 2016 CU3 (KB4012178)
Scheinbar ist die Lücke in der aktuellen Exchange Version (CU4 für Exchange 2016, CU15 für Exchange 2013) nicht vorhanden, zumindest passen die Versionsnummern dann nicht überein:
Exchange 2016 CU4: 15.01.0669.032
KB4012178 für Exchange 2016 CU3: 15.01.0544.030