Microsoft acaba com falha no Oracle Outside In por meio de correção crítica
A Microsoft acabou com uma série de falhas em segurança levadas por meio de vulnerabilidades no código do Oracle Outside In. A medida veio como parte de sua atualização mensal Patch Tuesday (ou Correção de Terça-feira).
Dentro do boletim está uma atualização crítica para versões do Microsoft Exchange Server. As vulnerabilidades, entretanto, não estão dentro do código do Exchange, mas sim na tecnologia Oracle Outside In, usada por produtos para habilitar o acesso e transformar vários formatos de arquivos.
Segundo a empresa, no Microsoft Exchange Server 2007 e Exchange Server 2010, usuários Outlook Web App (OWA), têm um recurso chamado WebReady Document Viewing, que permite a visualização de anexos como página de rede. O que dá suporte a esse recurso é o Oracle Outside In, usado para a conversão do processo no servidor final.
Nas duas versões do Microsoft Exchange Server citadas, as vulnerabilidades possibilitam que um invasor, sob certas circunstâncias, tenha controle do processo do servidor que está analisando um arquivo. O invasor pode então instalar programas ou ter acesso a qualquer ação que o processo tenha permissão.
Marcus Carey, pesquisador de segurança da Rapid7, afirmou que a vulnerabilidade parece ser uma excelente opção para tentativas de lançar ataques pishing, já que compromete o servidor ao simplesmente apenas com a ação de um usuário legítimo, ao abrir um documento malicioso usando o OWA. A partir disso, o invasor pode ganhar mais privilégios. “É interessante que a Microsoft qualifique como ‘crítico’ e a Oracle como uma vulnerabilidade com apenas 2,1 pontos, o que é muito baixo”.
O Oracle Outside In já teve muitas vulnerabilidades no passado, afirmou o CTO da BeyondTrust, Marc Maiffret. “Essa vulnerabilidade não é apenas crítica por sua habilidade de comprometer o Exchange, mas também pelo registro de problemas de segurança que a tecnologia já teve”, afirmou, adicionando que a correção deve ser aplicada “o mais rápido possível seu você usa Microsoft Exchange e OWA”.
Os clientes podem implementar a solução no Microsoft Security Advisory 2737111 para desabilitar o WebReady Document Viewing, em vez de aplicar a correção. As vulnerabilidades também afetam o FAST Search Server 2010 para SharePoint, mas a funcionalidade que usa o “Oracle Outside In” não está habilitada por padrão e é executada com um token restrito, similar ao do sandbox Office 2010 Protected View, que limita o acesso do invasor se o processo for comprometido.
A boa notícia é que as vulnerabilidades cobertas pelo boletim não foram vistas sendo usadas em ataques.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
