Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Symptômes

Symptômes 1 : vulnérabilité d’usurpation de jeton Outlook Web App

Une vulnérabilité d’usurpation de jeton existe dans Microsoft Exchange Server. Cela permet à un attaquant d’envoyer des courriers électroniques qui semblent provenir d’une source fiable, et les messages contiennent un lien vers un site Web de l’attaquant. Dans le cas d’une attaque basée sur le Web, un attaquant peut héberger un site Web qui est utilisé pour tenter d’exploiter cette vulnérabilité. Par ailleurs, des sites Web et des sites Web compromis qui acceptent ou hébergent du contenu ou des publications fournies par l’utilisateur peuvent contenir des contenus malveillants susceptibles d’exploiter ce problème. Néanmoins, dans la plupart des cas, un attaquant ne peut pas obliger les utilisateurs à consulter le contenu contrôlé par l’attaquant. Au lieu de cela, un attaquant doit convaincre les utilisateurs d’entreprendre une action, en règle générale en leur permettant de cliquer sur un lien dans un message électronique ou un message instantané, de manière à ce que les utilisateurs puissent accéder à leur site Web.

Symptômes 2 : vulnérabilité de redirection d’URL Exchange

Un attaquant peut rediriger un utilisateur vers une URL arbitraire à partir d’un lien qui semble provenir d’un domaine connu ou approuvé.Remarque

  • Pour générer le lien malveillant, un attaquant doit déjà être un utilisateur Exchange authentifié et être en mesure d’envoyer des courriers électroniques.

  • Le lien malveillant peut être envoyé dans un message électronique, mais l’attaquant doit convaincre les utilisateurs d’ouvrir le lien pour pouvoir exploiter cette vulnérabilité.

Symptômes 3 : plusieurs vulnérabilités XSS d’Outlook Web App

Un attaquant qui exploite correctement ces vulnérabilités peut lire le contenu qu’il n’est pas autorisé à lire. L’attaquant peut également utiliser l’identité de la victime pour effectuer des actions sur le site Outlook Web App pour le compte de la victime, par exemple pour modifier les autorisations, supprimer du contenu et injecter du contenu malveillant dans le navigateur de la victime.

Cause

Cause du symptôme 1

Ce problème se produit car Outlook Web App ne valide pas correctement un jeton de requête.

Cause du symptôme 2

Ce problème se produit car Outlook Web App ne vérifie pas correctement les jetons de redirection.

Cause des symptômes 3

Ce problème se produit car Exchange Server ne vérifie pas correctement les entrées.

Résolution

Méthode 1 : Windows Update

Cette mise à jour est disponible dans Windows Update.

Méthode 2 : Catalogue Microsoft Update

Pour obtenir le package autonome pour cette mise à jour, accédez au site web Catalogue Microsoft Update.

Méthode 3 : installer une mise à jour

Nous vous recommandons d’installer la mise à jour cumulative 7 ou une version ultérieure qui contient ce correctif de sécurité pour Exchange Server 2013.

Statut

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft figurant dans la liste des produits concernés par cet article.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×