Συμπτώματα
Συμπτώματα 1: ευπάθεια πλαστογράφησης διακριτικού διακριτικού του Outlook Web App
Υπάρχει μια ευπάθεια πλαστογράφησης διακριτικού στον Microsoft Exchange Server. Θα μπορούσε να επιτρέψει σε έναν εισβολέα να στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχονται από μια αξιόπιστη προέλευση και τα μηνύματα περιέχουν μια σύνδεση προς μια τοποθεσία Web του εισβολέα. Σε ένα σενάριο επίθεσης που βασίζεται στο Web, ένας εισβολέας μπορεί να φιλοξενήσει μια τοποθεσία Web που χρησιμοποιείται για να εκμεταλλευτεί αυτή την ευπάθεια. Επιπλέον, οι τοποθεσίες Web και οι τοποθεσίες Web που έχουν παραβιαστεί και αποδέχονται ή φιλοξενούν περιεχόμενο που παρέχεται από το χρήστη ή διαφημίσεις μπορεί να περιέχουν ειδικά δημιουργημένο περιεχόμενο που μπορεί να εκμεταλλευτεί αυτή την ευπάθεια. Ωστόσο, σχεδόν σε κάθε περίπτωση, ένας εισβολέας δεν μπορεί να επιβάλλει στους χρήστες να προβάλλουν το ελεγχόμενο περιεχόμενο του εισβολέα. Αντ ' αυτού, ένας εισβολέας θα πρέπει να πείσει τους χρήστες να αναλάβουν δράση, συνήθως με το να κάνουν κλικ σε μια σύνδεση σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή σε ένα άμεσο μήνυμα Messenger, για να μεταλάβουν χρήστες στην τοποθεσία Web του.
Συμπτώματα 2: ευπάθεια ανακατεύθυνσης διεύθυνσης URL του Exchange
Ένας εισβολέας μπορεί να ανακατευθύνει ένα χρήστη σε μια αυθαίρετη διεύθυνση URL από μια σύνδεση που φαίνεται να προέρχεται από έναν γνωστό ή αξιόπιστο τομέα.Σημειώσεις
-
Για να δημιουργήσετε μια κακόβουλη σύνδεση, ο εισβολέας πρέπει να είναι ήδη πιστοποιημένος χρήστης του Exchange και να μπορεί να στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου.
-
Η κακόβουλη σύνδεση μπορεί να αποσταλεί σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, αλλά ο εισβολέας θα πρέπει να πείσει τους χρήστες να ανοίξουν τη σύνδεση για να εκμεταλλευτούν την ευπάθεια.
Συμπτώματα 3: πολλά θέματα ευπάθειας XSS του Outlook Web App
Ένας εισβολέας που εκμεταλλεύεται με επιτυχία αυτά τα θέματα ευπάθειας θα μπορούσε να διαβάσει περιεχόμενο στο οποίο δεν έχει εξουσιοδοτηθεί να διαβάσει. Ο εισβολέας μπορεί επίσης να χρησιμοποιήσει την ταυτότητα του θύματος για να αναλάβει ενέργειες στην τοποθεσία του Outlook Web App εκ μέρους του θύματος, όπως η αλλαγή δικαιωμάτων, η διαγραφή περιεχομένου και η ενέσιμη χρήση κακόβουλου περιεχομένου στο πρόγραμμα περιήγησης του θύματος.
Αιτία
Αιτία για τα συμπτώματα 1
Αυτό το πρόβλημα παρουσιάζεται επειδή το Outlook Web App δεν επικυρώνει σωστά ένα διακριτικό αίτησης.
Αιτία για τα συμπτώματα 2
Αυτό το πρόβλημα παρουσιάζεται επειδή το Outlook Web App δεν επικυρώνει σωστά τα διακριτικά ανακατεύθυνσης.
Αιτία για τα συμπτώματα 3
Αυτό το πρόβλημα παρουσιάζεται επειδή ο Exchange Server δεν επικυρώνει σωστά τα δεδομένα εισόδου.
Επίλυση
Μέθοδος 1: Windows Update
Αυτή η ενημέρωση είναι διαθέσιμη από το Windows Update.
Μέθοδος 2: Κατάλογος του Microsoft Update
Για να λάβετε το αυτόνομο πακέτο για αυτήν την ενημέρωση, μεταβείτε στην τοποθεσία Web του καταλόγου Microsoft Update .
Μέθοδος 3: εγκατάσταση μιας ενημέρωσης
Συνιστούμε να εγκαταστήσετε την αθροιστική ενημερωμένη έκδοση 7 ή μια νεότερη ενημέρωση που περιέχει αυτήν την επιδιόρθωση ασφαλείας για τον Exchange Server 2013.
Κατάσταση
Η Microsoft έχει επιβεβαιώσει ότι πρόκειται για ένα πρόβλημα στα προϊόντα της Microsoft που παρατίθενται στην ενότητα "ισχύει για".