Sümptomid
Sümptomid 1: Outlook Web Appi märk võltsitud haavatavus
Microsoft Exchange ' i serveris on ebakindlat haavatavust käsitlev tõend. See võib lubada ründajal saata meilisõnumeid, mis näivad olevat pärit usaldusväärsest allikast, ja sõnumid sisaldavad linki ründaja veebisaidile. Veebipõhise rünnaku stsenaariumi korral võib ründaja majutada veebisaiti, mida kasutatakse selle haavatavuse ärakasutamiseks. Lisaks ohustatud veebisaidid ja veebisaidid, mis aktsepteerivad või majutavad kasutaja edastatud sisu või reklaame, võivad sisaldada spetsiaalselt formuleeritud sisu, mis võib selle haavatavuse ära kasutada. Kuid peaaegu igal juhul ei saa ründaja sundida kasutajaid kuvama ründaja kontrollitavat sisu. Selle asemel peaks ründaja veenma kasutajaid võtma toiminguid, tavaliselt siis, kui nad klõpsavad meilisõnumis või kiirsõnumside sõnumis linki, et võtta kasutajaid oma veebisaidile.
Sümptomid 2: Exchange ' i URL-i ümbersuunamise haavatavus
Ründaja saab suunata kasutaja ümber suvalisele URL-ilt lingilt, mis näib olevat pärit teadaolevast või usaldusväärsest domeenist.Märkused.
-
Pahatahtliku lingi loomiseks peab ründaja juba olema autenditud Exchange ' i kasutaja ja saama meilisõnumeid saata.
-
Pahatahtlikku linki saab saata meilisõnumiga, kuid ründaja peab kasutajate jaoks veenma linki avama, et haavatavust kasutada.
Sümptomid 3: mitu Outlook Web Appi XSS haavatavust
Ründaja, kes need nõrgad kohad kasutab, võib lugeda sisu, mida tal pole lubatud lugeda. Ründaja võib kasutada ka ohvri identiteeti, et teha kannatanu nimel toiminguid Outlook Web Appi saidil, näiteks muuta õigust, kustutada sisu ja süstida pahatahtlikku sisu kannatanu brauserisse.
Põhjus
Sümptomite 1 põhjus
See probleem ilmneb seetõttu, et Outlook Web App ei kinnita taotluse tõendit õigesti.
Sümptomite 2 põhjus
See probleem ilmneb seetõttu, et Outlook Web App ei kinnita ümbersuunamise märke õigesti.
Põhjus sümptomite 3
See probleem ilmneb seetõttu, et Exchange ' i server ei kinnita sisendit õigesti.
Lahendus
1. meetod: Windows Update
See värskendus on saadaval Windows Update' i kaudu.
Meetod 2: Microsoft Update ' i kataloog
Selle värskenduse eraldiseisva paketi saamiseks minge Microsofti värskenduste kataloogi veebisaidile.
3. meetod: värskenduse installimine
Soovitame installida kumulatiivse värskenduse 7 või uuemat värskendust, mis sisaldab seda turvavärskenduse Exchange Server 2013.
Olek
Microsoft on kinnitanud, et see probleem esineb jaotises "kehtib järgmiste toodete kohta" loetletud Microsofti toodetes.