Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (13.12.2017):
Durch das Sicherheitsupdate 4036108 für die Schwachstellen CVE-2017-8758
und CVE-2017-11761 in Microsoft Exchange wurde ein Problem beim Teilen von
Kalendern für Benutzer, die ‘split DNS’ verwenden, eingeführt. Microsoft
stellt ein neues Sicherheitsupdate für Microsoft Exchange zur Verfügung,
mit dem der Fix für die Schwachstellen wieder entfernt wird, um die
ursprüngliche Funktionalität wiederherzustellen.
Version 1 (13.09.2017):
Neues Advisory

Betroffene Software:

Microsoft Exchange Server 2013 Cumulative Update 16
Microsoft Exchange Server 2013 Cumulative Update 17
Microsoft Exchange Server 2013 SP1
Microsoft Exchange Server 2016 Cumulative Update 5
Microsoft Exchange Server 2016 Cumulative Update 6

Betroffene Plattformen:

Microsoft Windows

Zwei Schwachstellen in Microsoft Exchange ermöglichen einem entfernten,
nicht authentisierten Angreifer die Durchführung eines Cross-Site-Scripting
(XSS)-Angriffs gegen Benutzer und das Ausspähen von Informationen.

Microsoft stellt Sicherheitsupdates für Microsoft Exchange Server 2013
Service Pack 1, Microsoft Exchange Server 2013 Kumulatives Update 16 und 17
sowie Microsoft Exchange Server 2016 Kumulatives Update 5 und 6 zur
Verfügung, um die Schwachstellen zu beheben. Die Sicherheitsupdates werden
als „wichtig“ eingestuft.

Patch:

Microsoft Security Update Guide

https://portal.msrc.microsoft.com/en-us/security-guidance

CVE-2017-8758: Schwachstelle in Microsoft Exchange ermöglicht
Cross-Site-Scripting-Angriff

In Microsoft Exchange Outlook Web Access (OWA) existiert eine Schwachstelle,
da Webanforderungen nicht ordnungsgemäß verarbeitet werden. Ein entfernter,
nicht authentisierter Angreifer kann die Schwachstelle ausnutzen, indem er
beispielsweise eine speziell präparierte E-Mail-Nachricht mit einem
schädlichen Link an einen Benutzer sendet oder diesen auf andere Weise dazu
verleitet, auf einen solchen Link zu klicken, um einen Cross-Site-Scripting
(XSS)-Angriff durchzuführen, durch den dieser den Benutzer zur Preisgabe
vertraulicher Informationen verleiten könnte.

CVE-2017-11761: Schwachstelle in Microsoft Exchange ermöglicht Ausspähen von
Informationen

In Microsoft Exchange existiert eine Schwachstelle aufgrund eines
Bereinigungsfehlers für Eingaben. Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle ausnutzen, indem er in Nachrichten an den
Exchange-Server im Kontext des Kalenders speziell präparierte Tags einfügt,
durch die der Exchange-Server aufgefordert wird, Informationen von internen
Servern (Hosts) abzurufen, die im Internet nicht sichtbar sein sollten. Der
Angreifer kann dadurch über einen Client im Internet RFC1918-Adressen im
lokalen Netzwerk ausfindig machen und diese Informationen für weitere
Angriffe nutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1618/

Microsoft Security Update Guide:
https://portal.msrc.microsoft.com/en-us/security-guidance

Microsoft September 2017 Sicherheitsupdates:
https://portal.msrc.microsoft.com/de-de/security-guidance/releasenotedetail/5984735e-f651-e711-80dd-000d3a32fc99

Schwachstelle CVE-2017-11761 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11761

Schwachstelle CVE-2017-8758 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8758

Sicherheitsupdates für Microsoft Exchange: 12 Dezember 2017:
https://support.microsoft.com/en-us/help/4045655/description-of-the-security-update-for-microsoft-exchange-december-12

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.