UNAM-CERT Subdirección de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM Vulnerabilidad de Seguridad UNAM-CERT-2013-015 Vulnerabilidades en Microsoft Exchange Server podrían permitir la ejecución remota de código Esta actualización de seguridad resuelve vulnerabilidades de las que se ha informado de forma pública en Microsoft Exchange Server. La vulnerabilidad más grave se encuentra en Microsoft Exchange Server WebReady Document Viewing y podría permitir la ejecución remota de código en el servicio de transcodificación en el servidor Exchange si un usuario obtiene una vista previa de un archivo especialmente diseñado mediante Outlook Web App (OWA). El servicio de transcodificación de Exchange que se usa para WebReady Document Viewing se ejecuta en la cuenta LocalService. La cuenta LocalService tiene privilegios mínimos en el equipo local y presenta credenciales anónimas en la red. • Fecha de Liberación: 12-Feb-2013 • Ultima Revisión: 15-Feb-2013 • Fuente: Microsoft Corp. • CVE ID: CVE-2013-0393. CVE-2013-0418 • Riesgo Crítico • Problema de Vulnerabilidad Remoto • Tipo de Vulnerabilidad Ejecución Remota de Código Sistemas Afectados Microsoft Windows Windows Microsoft Windows Windows 1. Índice Microsoft Exchange Server 2007 Service < Pack 3 Microsoft Exchange Server 2010 Service < Pack 2 KB2788321 KB2788321 de explotabilidad El código de explotación sería difícil de construir 2. Descripción Existen dos vulnerabilidades en Microsoft Exchange Server a través de la característica WebReady Document Viewing. La vulnerabilidad más grave, CVE-2013-0418, podría permitir la ejecución remota de código como el de la cuenta LocalService, si un usuario consulta un archivo especialmente diseñado a través de Outlook Web Access en un explorador. Un atacante que aprovechara esta vulnerabilidad podría ejecutar código en el servidor de Exchange Server afectado, pero solo como la cuenta LocalService. La cuenta LocalService tiene privilegios mínimos en el equipo local y presenta credenciales anónimas en la red. La otra vulnerabilidad, CVE-2013-0393, podría provocar que el servidor de Exchange Server afectado dejara de responder si un usuario consulta un archivo especialmente diseñado a través de Outlook Web Access en un explorador. Tenga en cuenta que la vulnerabilidad CVE-2013-0393 no permitiría a un atacante ejecutar código o elevar derechos de usuario Vulnerabilidad de Seguridad UNAM-CERT-2013-015 Vulnerabilidades en Microsoft Exchange Server 1 podrí UNAM-CERT 3. Impacto Un atacante que aprovechara la vulnerabilidad CVE-2013-0418 podría ejecutar código arbitrario como LocalService en el servidor de Exchange afectado. En ese caso, un atacante podría instalar programas; ver, cambiar o eliminar datos; así como llevar a cabo cualquier otra acción a la que el proceso del servidor tenga acceso. La cuenta LocalService tiene privilegios mínimos en el equipo local y presenta credenciales anónimas en la red. Un atacante que aprovechar la vulnerabilidad CVE-2013-0393 podría provocar que el servidor de Exchange Server afectado dejara de responder si un usuario consulta un archivo especialmente diseñado a través de Outlook Web Access en un explorador. Tenga en cuenta que la vulnerabilidad CVE-2013-0393 no permitiría a un atacante ejecutar código o elevar derechos de usuario. 4. Solución ♦ Microsoft Exchange Server 2007 Service Pack 3 ♦ Microsoft Exchange Server 2010 Service Pack 2 5. Referencias ♦ http://technet.microsoft.com/en-us/security/bulletin/ms13-012 ♦ http://technet.microsoft.com/en-us/security/bulletin/ms13-feb La Subdirección de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a: • Edgar Israel Rubi Chavez (erubi at seguridad dot unam dot mx) • Manuel Ignacio Quintero Martínez (mquintero at seguridad dot unam dot mx) UNAM-CERT Equipo de Respuesta a Incidentes UNAM Subdirección de Seguridad de la Información incidentes at seguridad.unam.mx phishing at seguridad.unam.mx http://www.cert.org.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel: 56 22 81 69 Fax: 56 22 80 47 Impacto 2