Bollettino Microsoft sulla sicurezza MS05-029
Una vulnerabilità in Outlook Web Access per Exchange Server 5.5 può consentire attacchi di Cross-Site Scripting (895179)
Data di pubblicazione: 14 giugno 2005
Versione: 1.0
Riepilogo
Destinatari: amministratori di sistema che utilizzano server che eseguono Outlook Web Access per Microsoft Exchange Server 5.5
Effetti della vulnerabilità: esecuzione di codice in modalità remota
Livello di gravità: importante
Raccomandazioni: è consigliabile installare l’aggiornamento per la protezione il più presto possibile
Aggiornamenti per la protezione sostituiti: nessuno
Avvertenze: nessuna
Requisiti di versione relativi ai componenti dipendenti per l'aggiornamento:
Per la corretta installazione dell'aggiornamento è necessario che nel server Microsoft Outlook Web Access sia installato uno dei seguenti componenti:
| • | Internet Explorer 5.01 Service Pack 3 se si utilizza Microsoft Windows 2000 Service Pack 3 |
| • | Internet Explorer 5.01 Service Pack 4 se si utilizza Microsoft Windows 2000 Service Pack 4 |
| • | Internet Explorer 6 Service Pack 1 se si utilizzano altri sistemi operativi supportati |
Versioni consigliate per i componenti dipendenti nel server Outlook Web Access:
Le versioni consigliate per i componenti dipendenti nel server Outlook Web Access sono le seguenti:
| • | Microsoft Internet Information Services (IIS): | • | IIS 5.0 in Windows 2000 Service Pack 3 o versioni successive |
|
| • | Microsoft Internet Explorer: | • | Internet Explorer 6.0 Service Pack 1 |
|
Software verificato e posizioni per il download dell'aggiornamento per la protezione:
Software interessato:
Software non interessato:
| • | Microsoft Exchange 2000 Server Service Pack 3 con il rollup di aggiornamento di Exchange 2000 Post-Service Pack 3 dell'agosto 2004. |
| • | Microsoft Exchange Server 2003 |
| • | Microsoft Exchange Server 2003 Service Pack 1 |
Per ulteriori informazioni sul rollup di aggiornamento di Exchange 2000 Server Post-Service Pack 3, vedere l'articolo della Microsoft Knowledge Base 870540.
I prodotti software inclusi nell'elenco sono stati sottoposti a test per determinare se tali versioni sono interessate dalla vulnerabilità. Le altre versioni non includono più il supporto degli aggiornamenti per la protezione o potrebbero non essere interessate dal problema. Per informazioni sulla disponibilità del supporto per il prodotto e la versione in uso, visitare il sito Web di Microsoft Ciclo di vita del supporto.
Riepilogo:
L'aggiornamento risolve una vulnerabilità scoperta di recente e segnalata privatamente a Microsoft. In Outlook Web Access per Exchange Server 5.5 è presente una vulnerabilità di Cross-Site Scripting e spoofing che potrebbe essere sfruttata da un pirata informatico per indurre un utente a eseguire uno script dannoso. Tale vulnerabilità è descritta nella sezione "Dettagli della vulnerabilità" del presente bollettino.
Sfruttando questa vulnerabilità un pirata informatico potrebbe portare a termine attacchi di Cross-Site Scripting.
Microsoft consiglia di installare l'aggiornamento il più presto possibile.
Livelli di gravità e identificatori della vulnerabilità:
Vulnerabilità in Outlook Web Access per Exchange Server - CAN-2005-0563 | Esecuzione di codice in modalità remota | Importante |
La classificazione della gravità si basa sui tipi di sistemi interessati dalla vulnerabilità, sui modelli di distribuzione più comuni e sui potenziali effetti del problema in tali ambienti.
| Domande frequenti relative a questo aggiornamento per la protezione |
Nel sistema in uso è ancora installato Exchange 2000 Service Pack 3. Che cosa è necessario fare?
Per evitare di esporre i propri sistemi a potenziali vulnerabilità, si consiglia ai clienti che utilizzano ancora questa versione di eseguire quanto prima la migrazione a versioni supportate. Il rollup di aggiornamento per Microsoft Exchange 2000 Server Post-Service Pack 3 (SP3), rilasciato ad agosto 2004, è un prerequisito indispensabile per il supporto di Exchange 2000. Il numero di build è 6603.1. Questo rollup di aggiornamento è un prerequisito fondamentale per tutti gli aggiornamenti di Exchange 2000 Server rilasciati dopo il 29 giugno 2004 che hanno un numero di build superiore a 6603. Per ulteriori informazioni sul ciclo di vita dei prodotti Exchange Service Pack, visitare il sito Web di Microsoft Ciclo di vita del supporto. Per ulteriori informazioni sul ciclo di vita dei prodotti Exchange, visitare il sito Web di Microsoft Ciclo di vita del supporto.
Microsoft Exchange Server 5.5 Service Pack 4 è installato in un sistema Windows NT 4.0, che è giunto al termine del proprio ciclo di vita. Che cosa è necessario fare?
Il ciclo di vita di Windows NT Server 4.0 Service Pack 6a è terminato. I clienti che utilizzano Exchange Server 5.5 Service Pack 4 devono accertarsi di utilizzare Windows 2000 Server. Se la propria azienda utilizza ancora Windows NT Server 4.0, è necessario eseguire l'aggiornamento il più presto possibile.
Per ulteriori informazioni, vedere le domande frequenti sul ciclo di vita del supporto per i sistemi operativi Windows.
È possibile utilizzare Microsoft Baseline Security Analyzer (MBSA) per verificare se è necessario installare questo aggiornamento?
Nota Outlook Web Access per Exchange 5.5 può essere installato in un server Exchange o come applicazione IIS autonoma in grado di connettersi a un'installazione di Exchange in un server diverso.
MBSA consente di verificare se questo aggiornamento è necessario per un server Exchange 5.5 in cui è installato Outlook Web Access. Per ulteriori informazioni su MBSA, visitare il sito Web MBSA.
MBSA non supporta Outlook Web Access quando questo è in esecuzione su un sistema IIS (Internet Information Server) autonomo e quindi non consente di rilevare se l'aggiornamento per questo programma è necessario. Microsoft ha però sviluppato una versione di Enterprise Update Scanning Tool (EST) che consente di determinare se in questo caso è necessario installare l'aggiornamento per la protezione.
È possibile utilizzare Systems Management Server (SMS) per verificare se è necessario installare questo aggiornamento?
Sì. SMS consente di individuare questo aggiornamento per la protezione e di eseguirne la distribuzione. Per informazioni su SMS, visitare il sito Web SMS. Per il rilevamento delle versioni di Microsoft Windows e degli altri prodotti Microsoft interessati, è necessario Security Update Inventory Tool. Per ulteriori informazioni sulle limitazioni di Security Update Inventory Tool, consultare l'articolo della Microsoft Knowledge Base 306460.
Per ulteriori informazioni su SMS, visitare il sito Web SMS.
Per il deployment dell'aggiornamento è possibile utilizzare le funzionalità di inventario e distribuzione del software disponibili in SMS.
| Dettagli della vulnerabilità |
| Vulnerabilità in Outlook Web Access per Exchange Server - CAN-2005-0563: |
Si tratta di una vulnerabilità di Cross-Site Scripting, sfruttabile da un utente malintenzionato per indurre un utente a eseguire uno script dannoso, che verrebbe eseguito nel contesto di protezione dell'utente. Lo sfruttamento di questa vulnerabilità richiede un'interazione con l'utente. Sfruttando questa vulnerabilità un pirata informatico potrebbe accedere a qualsiasi informazione presente nel server Outlook Web Access e accessibile all'utente legittimo.
| Fattori attenuanti della vulnerabilità in Outlook Web Access per Exchange Server - CAN-2005-0563: |
| • | Per consentire lo sfruttamento della vulnerabilità, l'utente deve avere effettuato l'accesso a Outlook Web Access (OWA). |
| • | Le seguenti versioni supportate di Outlook Web Access per Exchange Server non sono interessate dalla vulnerabilità | • | Outlook Web Access per Exchange 2000 Server Service Pack 3 con il rollup di aggiornamento di Exchange 2000 Post-Service Pack 3 dell'agosto 2004. | | • | Outlook Web Access per Exchange Server 2003 | | • | Outlook Web Access per Exchange Server 2003 Service Pack 1 |
|
| Soluzioni alternative per la vulnerabilità in Outlook Web Access per Exchange Server - CAN-2005-0563: |
Microsoft ha verificato le soluzioni alternative seguenti. Sebbene queste soluzioni alternative non eliminino la vulnerabilità sottostante, consentono di bloccare gli attacchi noti. Se una soluzione alternativa riduce la funzionalità, viene identificata nella sezione seguente.
Modificare il file Read.asp
Per modificare il file Read.asp, attenersi alla procedura descritta di seguito.
Nota Gli amministratori possono modificare il file Read.asp.
Nota La procedura deve essere effettuata per tutti i server Outlook Web Access.
1. | Aprire il file Read.asp in Blocco note. Il file si trova nella cartella seguente: C:\Exchsrvr\Webdata\<lang>\Forms\Ipm\Note |
2. | Individuare la riga di codice seguente: <%= bstrBody %> |
3. | Salvare il file. |
4. | Sostituirla con la riga di codice seguente: <%= Server.HTMLEncode(bstrBody) %> |
Le modifiche vengono applicate immediatamente.
Effetto della soluzione alternativa:
I messaggi di posta elettronica in formato HTML non vengono visualizzati correttamente. Gli utenti visualizzano il codice HTML del messaggio.
Disattivare Outlook Web Access per tutti i siti di Exchange
Per disattivare Outlook Web Access, attenersi alla procedura descritta di seguito.
Nota La procedura deve essere effettuata per tutti i siti di Exchange.
1. Avviare il programma di amministrazione di Exchange.
2. Espandere il contenitore della configurazione del sito.
3. Selezionare il contenitore dei protocolli del sito.
4. Aprire la finestra delle proprietà dell'oggetto Impostazioni sito HTTP (Web).
5. Deselezionare la check box di attivazione protocollo.
6. Attendere la replica della modifica, quindi verificare che sia stata eseguita in tutti i server del sito. A tale scopo, nel programma di amministrazione di Exchange stabilire un'associazione con ogni server del sito e visualizzare le impostazioni della casella di controllo relativa ai protocolli attivati.
Effetto della soluzione alternativa: Gli utenti non potranno più utilizzare Outlook Web Access per accedere alle proprie cassette postali.
Disinstallare Outlook Web Access.
Per informazioni sulla procedura di disinstallazione di Outlook Web Access, vedere l'articolo della Microsoft Knowledge Base 290287.
Effetto della soluzione alternativa: Gli utenti non potranno più utilizzare Outlook Web Access per accedere alle proprie cassette postali.
Per ulteriori informazioni sul miglioramento della protezione dell'ambiente Exchange, visitare il sito Web Security Resources for Exchange 5.5.
| Domande frequenti relative alla vulnerabilità in Outlook Web Access per Exchange Server - CAN-2005-0563: |
Qual è la portata o l'impatto di questa vulnerabilità?
Si tratta di una vulnerabilità di Cross-Site Scripting che potrebbe essere sfruttata da un utente malintenzionato per indurre un utente a eseguire uno script dannoso, che verrebbe eseguito nel contesto di protezione dell'utente. Lo sfruttamento di questa vulnerabilità richiede un'interazione con l'utente.
Tale script può eseguire nel computer dell'utente qualsiasi azione consentita al sito Web, inclusi il monitoraggio della sessione Web e l'inoltro di informazioni a terze parti, l'esecuzione di altro codice nel sistema dell'utente e la lettura o la scrittura di cookie.
Che cos'è Outlook Web Access?
Microsoft Outlook Web Access (OWA) è un servizio di Exchange Server. Mediante OWA, i server che eseguono Exchange Server possono essere utilizzati anche come siti Web che consentono agli utenti autorizzati di leggere e inviare messaggi di posta elettronica, gestire il calendario ed eseguire altre funzionalità di posta attraverso Internet.
Quali sono le cause di questa vulnerabilità?
Una vulnerabilità di Cross-Site Scripting (CSS) viene causata dal modo in cui Outlook Web Access (OWA) applica la codifica HTML nel form per la scrittura dei nuovi messaggi.
Che cos'è il Cross-Site Scripting?
Il Cross-Site Scripting (CSS) è una vulnerabilità a livello di sicurezza che può essere sfruttata da un utente malintenzionato per introdurre codice nella sessione di esplorazione di un sito Web aperta da un utente. Diversamente dalla maggior parte delle vulnerabilità a livello di sicurezza, quest'ultima non riguarda solo i prodotti di un determinato fornitore, ma può interessare qualsiasi prodotto software che genera codice HTML e che non utilizza misure di protezione a livello di programmazione.
Come funziona il Cross-Site Scripting?
Le pagine Web contengono testo e tag HTML, che vengono generati dal server e interpretati dal client. I server che generano pagine statiche possono controllare completamente la modalità con cui i client interpretano le pagine inviate dal server, mentre i server che generano pagine dinamiche non possono controllare il modo in cui i client interpretano tale output. Se in una pagina dinamica viene introdotto contenuto non attendibile, né il server né il client dispongono di informazioni sufficienti per rilevarlo e adottare misure di protezione.
In quale modo un utente malintenzionato può sfruttare questa vulnerabilità?
È possibile sfruttare la vulnerabilità inviando un messaggio appositamente predisposto a un utente, che deve aprirlo con Outlook Web Access. Il messaggio può quindi costringere il sistema interessato a eseguire uno script nell'ambito della sessione di Outlook Web Access.
Quali sono i sistemi principalmente interessati da questa vulnerabilità?
I sistemi maggiormente a rischio sono i computer client che accedono a un Exchange Server 5.5 tramite Outlook Web Access.
La vulnerabilità interessa tutte le versioni supportate di Outlook Web Access?
No. La vulnerabilità interessa solo Outlook Web Access per Exchange Server 5.5.
In quali server Exchange è necessario installare l'aggiornamento?
L'aggiornamento è progettato solo per i server che eseguono Outlook Web Access per Exchange Server 5.5. Non è pertanto necessario installarlo nei server che non eseguono tale servizio. Si consiglia tuttavia di installarlo in tutti gli altri server che eseguono Exchange Server 5.5 in modo da assicurarne la protezione anche nel caso in cui vengano successivamente convertiti in server Outlook Web Access.
Quali sono gli scopi dell'aggiornamento?
L'aggiornamento elimina la vulnerabilità garantendo la corretta codifica degli argomenti degli script di OWA, per impedire che vengano eseguiti all'insaputa dell'utente.
Al momento del rilascio di questo bollettino le informazioni sulla vulnerabilità erano disponibili pubblicamente?
No. Microsoft ha ricevuto informazioni sulla vulnerabilità da fonti private. Secondo le informazioni in possesso di Microsoft, al momento della pubblicazione del presente bollettino, l'esistenza di questa vulnerabilità non era stata ancora divulgata pubblicamente.
Al momento del rilascio di questo bollettino erano già stati segnalati attacchi basati sullo sfruttamento di questa vulnerabilità?
No. Al momento della pubblicazione del presente bollettino, Microsoft non aveva ricevuto alcuna segnalazione in merito allo sfruttamento di questa vulnerabilità a scopo di attacco, né dell'esistenza di un codice di prova pubblicato.
| Informazioni sull'aggiornamento per la protezione |
Software interessato:
Per informazioni sull'aggiornamento per la protezione specifico per il software interessato, fare clic sul collegamento corrispondente:
| Exchange Server 5.5 Service Pack 4 |
Prerequisiti
Per questo aggiornamento per la protezione è necessario Outlook Web Access installato in Exchange Server 5.5 Service Pack 4.
Disponibilità nei service pack futuri:
L'aggiornamento per il problema illustrato verrà incluso in un service pack o rollup di aggiornamento futuro.
Informazioni per l'installazione
Per ulteriori informazioni sulle opzioni della riga di comando che è possibile utilizzare per applicare l'aggiornamento, vedere l'articolo della Microsoft Knowledge Base 257946.
Informazioni per il deployment
Per installare l'aggiornamento per la protezione senza intervento da parte dell'utente, immettere la riga seguente al prompt dei comandi di Exchange Server 5.5 Service Pack 4:
| • | Exchange5.5-KB895179.EXE |
Necessità di riavvio
Per questo aggiornamento non è necessario riavviare il sistema. Tuttavia, quando si installa l'aggiornamento verranno riavviati Microsoft Internet Information Services (IIS), l'Archivio di Microsoft Exchange e Supervisore sistema di Microsoft Exchange. Installare pertanto l'aggiornamento quando non sono presenti utenti connessi tramite Outlook Web Access.
Informazioni per la rimozione
Per rimuovere questo aggiornamento, utilizzare lo strumento Installazione applicazioni del Pannello di controllo oppure immettere il comando seguente in una finestra di console:
%EXCHSRVR%\895179\UNINSTALL\UNINST.EXE
Informazioni sui file:
I file della versione inglese di questo aggiornamento per la protezione presentano gli attributi riportati nella tabella che segue. Le date e le ore dei file indicati nella tabella sono espressi utilizzando l'ora UTC (Coordinated Universal Time). Al momento della visualizzazione, tali informazioni verranno convertite nella data e nell'ora locali. Per informazioni sulle differenze fra l'ora UTC e l'ora locale, utilizzare la scheda Fuso orario dello strumento Data/Ora del Pannello di controllo.
Exchange Server 5.5 Service Pack 4:
Cdohtml.dll | 5.5.2658.34 | 16-apr-2005 | 19:34 | 537.360 |
Htmlsnif.dll | 6.5.6582.0 | 15-nov-2002 | 18:41 | 57.344 |
Safehtml.dll | 6.5.7547.0 | 07-apr-2005 | 17:45 | 201.728 |
Cdo.dll | 5.5.2658.34 | 16-apr-2005 | 19:37 | 807.184 |
Verifica dell'applicazione dell'aggiornamento
| • | Microsoft Baseline Security Analyzer Per verificare se un aggiornamento per la protezione è stato applicato al sistema interessato, è possibile utilizzare lo strumento Microsoft Baseline Security Analyzer (MBSA). MBSA consente di eseguire la scansione di sistemi locali e remoti, al fine di rilevare eventuali aggiornamenti per la protezione mancanti, nonché i più comuni errori di configurazione della protezione. Per ulteriori informazioni su MBSA, visitare il sito Web Microsoft Baseline Security Analyzer. |
| • | Verifica della versione dei file Nota Poiché esistono diverse versioni di Microsoft Windows, le operazioni descritte di seguito potrebbero risultare diverse nel computer in uso. In tal caso, consultare la documentazione del prodotto per eseguire tutti i passaggi. 1. | Fare clic su Start, quindi su Cerca. | 2. | Nel riquadro Risultati della ricerca, scegliere Tutti i file e cartelle in Ricerca guidata. | 3. | Nella casella Nome del file o parte del nome, digitare il nome del file, individuato nell'appropriata tabella di informazioni sui file, quindi fare clic su Cerca. | 4. | Nell'elenco dei file, fare clic con il pulsante destro del mouse sul nome di un file nell'appropriata tabella di informazioni sui file, quindi fare clic su Proprietà.
Nota A seconda della versione del sistema operativo o dei programmi installati, è possibile che alcuni dei file elencati nella tabella di informazioni sui file non siano installati. | 5. | Nella scheda Versione, individuare il numero di versione del file installato nel computer e confrontarlo con quello specificato nell'appropriata tabella di informazioni sui file.
Nota È possibile che durante l'installazione alcuni attributi diversi dalla versione del file vengano modificati. Il confronto di altri attributi dei file con le informazioni disponibili nella tabella non è un metodo supportato per la verifica dell'applicazione dell'aggiornamento. In alcuni casi, inoltre, è possibile che i file vengano rinominati durante l'installazione. Se le informazioni sul file o sulla versione non sono disponibili, utilizzare uno degli altri metodi disponibili per verificare l'installazione dell'aggiornamento. |
|
| • | Controllo delle chiavi del Registro di sistema Per verificare i file installati dall'aggiornamento per la protezione, è anche possibile esaminare la seguente chiave del Registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Exchange Server 5.5\SP5\895179 Nota Questa chiave del Registro di sistema potrebbe non contenere un elenco completo dei file installati. Inoltre, quando un amministratore o un OEM integra o esegue lo slipstreaming dell'aggiornamento per la protezione 895179 nei file di origine dell'installazione di Windows, è possibile che questa chiave del Registro di sistema non venga creata correttamente. |
Ringraziamenti
Microsoft ringrazia i seguenti utenti per aver collaborato con noi al fine di proteggere i sistemi dei clienti:
Download di altri aggiornamenti per la protezione:
Sono disponibili aggiornamenti per altri problemi di protezione nei seguenti siti:
| • | Gli aggiornamenti per la protezione sono disponibili nell'Area download Microsoft ed è possibile individuarli in modo semplice eseguendo una ricerca con la parola chiave "security_patch". |
| • | Gli aggiornamenti per i sistemi consumer sono disponibili nel sito Web Windows Update. |
Supporto tecnico:
| • | Per usufruire dei servizi del supporto tecnico, visitare il sito del Supporto tecnico Microsoft. Le chiamate al supporto tecnico relative agli aggiornamenti per la protezione sono gratuite. |
| • | I clienti internazionali possono ottenere assistenza tecnica presso le filiali Microsoft locali. Gli interventi di assistenza relativi agli aggiornamenti per la protezione sono gratuiti. Per ulteriori informazioni su come contattare Microsoft per ottenere supporto, visitare il sito Web del supporto internazionale. |
Fonti di informazioni sulla sicurezza:
Software Update Services:
Microsoft Software Update Services (SUS) consente agli amministratori di eseguire in modo rapido e affidabile il deployment dei più recenti aggiornamenti critici e per la protezione sia nei server basati su Windows 2000 e Windows Server 2003, sia nei computer desktop che eseguono Windows 2000 Professional o Windows XP Professional.
Per ulteriori informazioni su come eseguire il deployment di questo aggiornamento per la protezione con Software Update Services, visitare il sito Web Software Update Services.
Systems Management Server:
Microsoft Systems Management Server (SMS) offre una soluzione aziendale altamente configurabile per la gestione degli aggiornamenti. Tramite SMS gli amministratori possono identificare i sistemi Windows che richiedono gli aggiornamenti per la protezione ed eseguire il deployment controllato di tali aggiornamenti in tutta l'azienda, con il minimo disturbo per gli utenti finali. Per ulteriori informazioni sull'utilizzo di SMS 2003 per la distribuzione degli aggiornamenti per la protezione, visitare il sito Web SMS 2003 Security Patch Management. Gli utenti di SMS 2.0 possono inoltre utilizzare Software Updates Service Feature Pack per semplificare il deployment degli aggiornamenti per la protezione. Per informazioni su SMS, visitare il sito Web SMS.
Nota SMS utilizza Microsoft Baseline Security Analyzer, lo strumento di rilevamento di Microsoft Office ed Enterprise Update Scanning Tool per offrire il più ampio supporto possibile per il rilevamento e il deployment degli aggiornamenti inclusi nei bollettini sulla sicurezza. Alcuni aggiornamenti non possono essere tuttavia rilevati tramite questi strumenti. In questi casi, per applicare gli aggiornamenti a computer specifici è possibile utilizzare le funzionalità di inventario di SMS. Per ulteriori informazioni sulla procedura da utilizzare, visitare il seguente sito Web. Per alcuni aggiornamenti per la protezione può essere necessario disporre di diritti amministrativi ed eseguire il riavvio del sistema. Per installare tali aggiornamenti è possibile utilizzare lo strumento Elevated Rights Deployment Tool, disponibile in SMS 2003 Administration Feature Pack e in SMS 2.0 Administration Feature Pack.
Dichiarazione di non responsabilità:
Le informazioni disponibili nella Microsoft Knowledge Base sono fornite "come sono" senza garanzie di alcun tipo. Conseguentemente, Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.
Versioni:
| • | V1.0 (14 giugno 2005): pubblicazione del bollettino |
