Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified

Documento informativo sobre seguridad de Microsoft (2401593)

Una vulnerabilidad en Outlook Web Access podría permitir la elevación de privilegios

Publicado: 14 de septiembre de 2010

Versión: 1.0

Información general

Resumen ejecutivo

Microsoft ha terminado la investigación de una vulnerabilidad de la que se ha informado de forma pública en Outlook Web Access (OWA) que puede afectar a los clientes de Microsoft Exchange. Un atacante que aprovechara esta vulnerabilidad podría secuestrar una sesión OWA autenticada. El atacante podría realizar acciones en nombre del usuario autenticado sin su conocimiento, en el contexto de seguridad de la sesión OWA activa.

Esta vulnerabilidad afecta a las ediciones compatibles de Microsoft Exchange Server 2003 y Microsoft Exchange Server 2007 (excepto Microsoft Exchange Server 2007 Service Pack 3). Microsoft Exchange Server 2000, Microsoft Exchange Server 2007 Service Pack 3 y Microsoft Exchange Server 2010 no están afectados por la vulnerabilidad. Para obtener más información, consulte la sección Software afectado y no afectado.

Microsoft recomienda a los clientes que ejecutan las ediciones afectadas de Microsoft Exchange Server que se actualicen a una versión no afectada de Microsoft Exchange Server para corregir la vulnerabilidad. Los clientes que no puedan actualizarse en este momento pueden consultar en la sección Soluciones provisionales las opciones que puedan ayudar a limitar el modo en que un atacante puede aprovechar la vulnerabilidad.

En este momento, no tenemos constancia de ningún ataque que aproveche esta vulnerabilidad. Seguiremos supervisando el panorama de amenazas y actualizaremos este documento informativo si cambia la situación.

Detalles del documento informativo

Referencias del problema

Para obtener más información acerca de este problema, consulte las siguientes referencias:

ReferenciasIdentificación

Referencia CVE

CVE-2010-3213

Software afectado y no afectado

Este documento informativo trata sobre el software que se indica a continuación.

Software afectado

Microsoft Exchange Server 2003 Service Pack 2

Microsoft Exchange Server 2007 Service Pack 1

Microsoft Exchange Server 2007 Service Pack 2

Software no afectado

Microsoft Exchange Server 2000 Service Pack 3

Microsoft Exchange Server 2007 Service Pack 3

Microsoft Exchange Server 2010

Microsoft Exchange Server 2010 Service Pack 1

Preguntas frecuentes

¿Cuál es el alcance de este documento informativo?  
Microsoft tiene constancia de un nuevo informe de vulnerabilidad que afecta a Outlook Web Access (OWA) para Microsoft Exchange Server. Afecta al software que se enumera en la sección Software afectado.

¿Qué es Outlook Web Access (OWA) de Exchange?  
Outlook Web Access (OWA) es un servicio de correo web de Microsoft Exchange Server 5.0 y versiones posteriores. La interfaz web de Outlook Web Access es similar a la de Microsoft Outlook. Outlook Web Access forma parte de Microsoft Exchange Server.

¿Qué provoca esta amenaza?  
En determinadas circunstancias, un atacante puede secuestrar una sesión OWA autenticada para llevar a cabo acciones en nombre del usuario sin su conocimiento.

¿Para qué puede utilizar un atacante esta vulnerabilidad?  
Un atacante que lograra aprovechar esta vulnerabilidad podría realizar acciones en nombre del usuario autenticado en el contexto de seguridad de la sesión OWA activa, como, por ejemplo, leer mensajes de correo electrónico, agregar nuevas reglas de bandeja de entrada o cambiar las preferencias de usuario OWA.

¿Cómo podría aprovechar un atacante la vulnerabilidad?  
Un atacante podría aprovechar esta vulnerabilidad si convence a un usuario atacado para que visite una página web malintencionada que el atacante ha diseñado específicamente para el dominio de Exchange atacado durante una sesión OWA activa.

¿Por qué no hay una actualización de seguridad para corregir esta vulnerabilidad?  
No hay disponible una actualización de seguridad porque la corrección de la vulnerabilidad requeriría un cambio de diseño para implementar un nuevo marco de comprobación de solicitudes HTTP para OWA a fin de contribuir a evitar que un atacante robe la sesión OWA de un usuario. Microsoft ha determinado que la introducción de un cambio de diseño de tal magnitud en las versiones afectadas de Microsoft Exchange Server supondría un riesgo demasiado alto de desestabilización y ruptura de los entornos de cliente.

¿Qué debo hacer si uso versiones del producto para las que no hay disponible una actualización?  
Los administradores que ejecutan las ediciones afectadas de Microsoft Exchange Server deben actualizar a una versión afectada. Microsoft Exchange Server 2007 Service Pack 3 y Microsoft Exchange Server 2010 no están afectados por la vulnerabilidad.

Los administradores que no puedan actualizarse en este momento pueden consultar en la sección Soluciones provisionales las opciones que puedan ayudar a limitar el modo en que un atacante puede aprovechar la vulnerabilidad.

Uso una versión anterior del software tratado en este documento informativo sobre seguridad. ¿Qué debo hacer?  
El software afectado que se enumera en este documento informativo se ha probado para determinar las versiones que están afectadas. Otras versiones o ediciones han pasado su ciclo de vida del soporte técnico. Para obtener más información acerca del ciclo de vida del soporte técnico de los productos, visite el sitio web Ciclo de vida del soporte técnico de Microsoft.

Los clientes que tengan esas versiones o ediciones anteriores del software deberían plantearse la migración a versiones con soporte técnico para evitar la exposición a vulnerabilidades. Para determinar el ciclo de vida del soporte técnico de su versión de software, vea Seleccionar un producto para obtener información acerca del ciclo de vida. Para obtener más información acerca de los Service Packs de estas versiones de software, vea Service Packs compatibles del ciclo de vida.

Los clientes que requieran soporte técnico para el software anterior deben ponerse en contacto con su representante del equipo de cuentas de Microsoft, con su administrador técnico de cuentas o con el representante del socio de Microsoft apropiado para consultar las opciones de soporte personalizado disponibles. Los clientes con un contrato Alliance, Premier o Authorized pueden ponerse en contacto con su oficina de ventas local de Microsoft. Para obtener información de contacto, visite el sitio web de información en todo el mundo de Microsoft, seleccione el país en la lista Información de contacto y, a continuación, haga clic en Ir para ver una lista de números de teléfono. Cuando llame, diga que desea hablar con el administrador de ventas local de soporte técnico Premier. Para obtener más información, vea Preguntas más frecuentes de la directiva del ciclo de vida del soporte técnico de Microsoft.

Factores atenuantes y acciones sugeridas

Factores atenuantes

El factor atenuante hace referencia a una opción, configuración común o práctica recomendada general, existente en un estado predeterminado, que podría reducir la gravedad de una vulnerabilidad. Los siguientes factores atenuantes podrían ser útiles en su situación:

En el caso de un ataque basado en web, el intruso podría alojar un sitio web que contuviera una página web para aprovechar esta vulnerabilidad. Además, los sitios web vulnerables y los sitios web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante.

Soluciones provisionales

Las soluciones provisionales siguientes hacen referencia a una opción o configuración que no corrige el problema subyacente pero ayuda a limitar lo que podría usar un atacante para la vulnerabilidad.

Nota Estas soluciones provisionales no bloquean las vías de ataque conocidas, sino que ayudan a eliminar el modo en el que un atacante podría aprovechar la vulnerabilidad mediante la deshabilitación selectiva de la funcionalidad.

Deshabilitar las reglas mediante el uso de segmentación

La segmentación se puede llevar a cabo en cada servidor para cambiar la funcionalidad de Outlook Web Access. Para evitar que los atacantes aprovechen determinadas características de Outlook Web Access, los administradores pueden optar por implementar la segmentación para deshabilitarlas de forma selectiva.

Para obtener información acerca de como deshabilitar las reglas mediante el uso de segmentación en Microsoft Exchange Server 2007, vea el artículo de TechNet Cómo administrar la segmentación en Outlook Web Access.

Para obtener información acerca de cómo deshabilitar las reglas mediante el uso de segmentación en Microsoft Exchange Server 2003, vea el artículo 833340 de Microsoft Knowledge Base.

Consecuencias de la solución provisional. Al deshabilitar las reglas se impedirá que un atacante modifique las reglas del usuario a través de OWA, lo que evita la filtración de datos. No obstante, el atacante podría modificar otras opciones del usuario. Después de implementar esta solución provisional los usuarios ya no podrán crear ni actualizar reglas mediante OWA. Las reglas existentes seguirán funcionando. Las consecuencias de esta solución provisional sólo afectan a la funcionalidad de Outlook Web Access, no a un cliente de Outlook.

Deshabilitar el panel de opciones mediante UrlScan

La implementación de esta solución provisional impedirá que un atacante pueda ver o modificar las opciones de Exchange a través de OWA, con lo que se impide la mayoría de los ataques conocidos contra la vulnerabilidad descrita en este documento informativo.

Para obtener información acerca de cómo deshabilitar el panel de Opciones mediante UrlScan, vea el artículo 2299129 de Microsoft Knowledge Base.

Consecuencias de la solución provisional. Los usuarios ya no podrán modificar las opciones de Exchange mediante OWA. Al deshabilitar las opciones también se deshabilitan las reglas, tal como se ha descrito anteriormente. Las consecuencias de esta solución provisional sólo afectan a la funcionalidad de Outlook Web Access, no a un cliente de Outlook.

Acciones adicionales recomendadas

Actualizar a una versión no afectada de Microsoft Exchange Server

Microsoft recomienda a los clientes que ejecutan las ediciones afectadas de Microsoft Exchange Server que se actualicen a una versión no afectada de Microsoft Exchange Server para corregir la vulnerabilidad. Microsoft Exchange Server 2007 Service Pack 3 y Microsoft Exchange Server 2010 no están afectados por la vulnerabilidad.

Mantener Windows actualizado

Todos los usuarios de Windows deben aplicar las actualizaciones de seguridad más recientes para que sus equipos cuenten con el máximo nivel de protección posible. Si tiene dudas acerca de si su software está actualizado, visite Windows Update, explore las actualizaciones disponibles para el equipo e instale las actualizaciones importantes que se le ofrezcan. Si tiene la función Actualizaciones automáticas activada, recibirá las actualizaciones en cuanto estén disponibles; asegúrese de instalarlas.

Información adicional:

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, visite los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Asociados de Microsoft Active Protections Program (MAPP).

Comentarios

Puede proporcionar comentarios si rellena el formulario de Ayuda y soporte técnico de Microsoft de contacto con el departamento de atención al cliente.

Soporte técnico

Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico del departamento de soporte técnico de seguridad. Para obtener más información acerca de las opciones de asistencia disponibles, visite Ayuda y soporte técnico de Microsoft.

Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite Soporte técnico internacional.

Microsoft TechNet Security proporciona información adicional acerca de la seguridad de los productos de Microsoft.

Renuncia

La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

V1.0 (14 de septiembre de 2010): Publicación del documento informativo.



©2014 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft