1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2015-069 Vulnerabilidades en Microsoft Exchange podría permitir la elevación de privilegios.

Esta actualización de seguridad resuelve vulnerabilidades en Microsoft Exchange Server. La más grave de estas vulnerabilidades podría permitir elevación de privilegios si un usuario autenticado abre un enlace de una página web especialmente diseñada.

  • Fecha de Liberación: 9-Jun-2015
  • Ultima Revisión: 9-Jun-2015
  • Fuente: Microsoft Corp.
  • CVE ID: CVE-2015-1764 CVE-2015-1771 CVE-2015-2359
  • Riesgo Importante
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Elevación de privilegios

Sistemas Afectados

Microsoft Windows Windows Microsoft Exchange Server 2013 Cumulative Update 8 < 3062157
Microsoft Windows Windows Microsoft Exchange Server 2013 Service Pack 1 < 3062157
  1. Índice de explotabilidad

    Vulnerabilidad de  peticiones falsificadas en servidores con Exchange CVE-2015-1764

    Código de explotación consistente.

    Vulnerabilidad de  peticiones falsificadas con Cross-Site en Exchange CVE-2015-1771

    Código de explotación consistente.

    Vulnerabilidad de inyección de HTML en Exchange CVE-2015-2359

    Código de explotación consistente.

  2. Descripción

    Vulnerabilidad de  peticiones falsificadas en servidores con Exchange CVE-2015-1764

    Existe una vulnerabilidad de divulgación de información en aplicaciones web de Microsoft Exchange cuando Exchange no maneja de manera adecuada la política del mismo origen.

    Vulnerabilidad de  peticiones falsificadas con Cross-Site en Exchange CVE-2015-1771

    Existe una vulnerabilidad de elevación de privilegios en aplicaciones web de Microsoft Exchange cuando Exchange no maneja de manera adecuada las sesiones de usuarios.

    Vulnerabilidad de inyección de HTML en Exchange CVE-2015-2359

    Existe una vulnerabilidad de divulgación de información en aplicaciones web de Microsoft Exchange cuando Exchange no maneja de manera adecuada el escaneo de cadenas HTML.

  3. Impacto

    Vulnerabilidad de  peticiones falsificadas en servidores con Exchange CVE-2015-1764

    Un atacante podría axplotar esta vulnerabilidad con peticiones falsificadas del lado del servidor (SSRF) mediante el uso de una solicitud de aplicación web especialmente diseñada. Un atacante que explote por completo esta vulnerabilidad podría:

    • Escanear y atacar el sistema que se encuentra detrás de un firewall que normalmente son inaccesibles desde el resto del mundo.
    • Enumerar y atacar los servicios que se ejecutan en los sistemas host.
    • Explotar los servicios de autenticación basados en el host.

    Vulnerabilidad de  peticiones falsificadas con Cross-Site en Exchange CVE-2015-1771

    En caso de un ataque basado en web el intruso podría alojar un sitio web (o aprovechar un sitio web comprometido que acepte o reciba contenido proporcionado por el usuario) que contiene una página web especialmente diseñada para explotar esta vulnerabilidad.

    Vulnerabilidad de inyección de HTML en Exchange CVE-2015-2359

    Para explotar esta vulnerabilidad de inyección HTML un atacante debe tener la posibilidad de enviar una secuencia de comandos especialmente diseñados a un sitio que utilice el escaneo de HTML. 

  4. Solución

  5. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx)
  • Edgar Israel Rubi Chavez (erubi at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT