Příznaky
Příznaky 1: zranitelnost vůči falšování tokenu v Outlook Web Appu
Na serveru Microsoft Exchange Server je chyba zabezpečení umožňující falšování tokenu. Může útočníkovi umožnit odesílání e-mailových zpráv, které zdánlivě pocházejí z důvěryhodného zdroje, a zprávy obsahují odkaz na web útočníka. V případě útoku z webu by útočník mohl být hostitelem webu, který se používá k pokusu o zneužití této chyby zabezpečení. Ohrožené weby a weby, které přijímají nebo hostují obsah nebo reklamy, můžou obsahovat speciálně vytvořený obsah, který by mohl zneužít tuto chybu zabezpečení. V každém případě však Útočník nemůže uživatelům vynutit zobrazení obsahu řízeného útočníkem. Místo toho by útočník musel uživatele přesvědčit, aby provedl akci, a to tak, že v e-mailové zprávě nebo v rychlé zprávě zobrazí odkaz, abyste mohli uživatele přenést na jeho web.
Příznaky 2: Chyba zabezpečení přesměrování adresy URL systému Exchange
Útočník může uživatele přesměrovat na libovolnou adresu URL z odkazu, který se zdá, že pochází ze známé nebo důvěryhodné domény.Poznámky:
-
Chcete-li vytvořit škodlivý odkaz, musí být útočník již ověřeným uživatelem systému Exchange a může odesílat e-mailové zprávy.
-
Škodlivý odkaz může být odeslaný v e-mailu, ale útočník by musel uživatele, aby otevřel odkaz, aby mohl zneužít tuto chybu zabezpečení.
Příznaky 3: více chyb zabezpečení aplikace Outlook Web App XSS
Útočník, který by úspěšně zneužil tyto chyby zabezpečení, by mohl přečíst obsah, který nemá oprávnění ke čtení. Útočník by mohl také použít identitu oběti k provádění akcí na webu Outlook Web Appu jménem oběti, jako je změna oprávnění, odstranění obsahu a vložení škodlivého obsahu do prohlížeče oběti.
Příčina
Příčina příznaků 1
K tomuto problému dochází, protože Outlook Web App nesprávně ověřuje token žádosti.
Příčina příznaků 2
K tomuto problému dochází, protože Outlook Web App nesprávně ověřuje tokeny přesměrování.
Příčina příznaků 3
K tomuto problému dochází, protože Exchange Server neověřuje správně vstup.
Řešení
Metoda 1: Windows Update
Tato aktualizace je k dispozici na Windows Update.
Metoda 2: katalog Microsoft Update
Pokud chcete získat samostatný balíček pro tuto aktualizaci, přejděte na web katalogu Microsoft Update .
Metoda 3: instalace aktualizace
Doporučujeme nainstalovat kumulativní aktualizaci 7 nebo novější, která obsahuje tuto opravu zabezpečení pro Exchange Server 2013.
Stav
Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt.