증상
현상 1: Outlook Web App 토큰 스푸핑 취약점
Microsoft Exchange Server에 토큰 스푸핑 취약점이 존재 합니다. 이를 통해 공격자는 신뢰할 수 있는 출처에서 온 것으로 보이는 전자 메일 메시지를 보낼 수 있으며, 메시지에는 공격자의 웹 사이트에 대 한 링크가 포함 됩니다. 웹 기반 공격 시나리오에서 공격자는이 취약점을 악용 하는 데 사용 되는 웹 사이트를 호스팅할 수 있습니다. 또한, 사용자가 제공한 콘텐츠 또는 광고를 수락 하거나 호스팅하는 손상 된 웹 사이트 및 웹 사이트에는이 취약점을 악용할 수 있는 특수 하 게 조작한 콘텐츠가 포함 될 수 있습니다. 그러나 거의 모든 경우에 공격자는 사용자가 공격자가 제어 하는 콘텐츠를 보도록 강제할 수 없습니다. 대신 공격자는 사용자가 전자 메일 메시지 또는 메신저 메시지의 링크를 클릭 하 여 자신의 웹 사이트로 이동 하도록 유도 하는 것이 일반적입니다.
현상 2: Exchange URL 리디렉션 취약점
공격자는 알려진 또는 트러스트 된 도메인에서 시작 된 링크에서 사용자를 임의의 URL로 리디렉션할 수 있습니다.참고
-
악의적인 링크를 생성 하려면 공격자가 이미 인증 된 Exchange 사용자이 고 전자 메일 메시지를 보낼 수 있어야 합니다.
-
악의적인 링크는 전자 메일로 보낼 수 있지만 공격자는 사용자가이 취약점을 악용 하기 위해 링크를 열도록 유도 해야 합니다.
현상 3: 여러 Outlook Web App XSS 취약점
이 취약점을 성공적으로 악용 하는 공격자는 읽을 수 있도록 승인 되지 않은 콘텐츠를 읽을 수 있습니다. 또한 공격자는 피해자의 id를 사용 하 여 권한 변경, 콘텐츠 삭제, 악의적인 콘텐츠 주입 등의 공격을 대신 하 여 Outlook Web App 사이트에서 작업을 수행할 수도 있습니다.
원인
현상 1의 원인
이 문제는 Outlook Web App이 요청 토큰의 유효성을 올바르게 검사 하지 못하기 때문에 발생 합니다.
현상 2의 원인
이 문제는 Outlook Web App이 리디렉션 토큰의 유효성을 올바르게 검사 하지 못하기 때문에 발생 합니다.
현상 3의 원인
이 문제는 Exchange Server가 입력의 유효성을 올바르게 검사 하지 못하기 때문에 발생 합니다.
해결 방법
방법 1: Windows 업데이트
이 업데이트는 Windows 업데이트에서 제공됩니다.
방법 2: Microsoft Update 카탈로그
이 업데이트의 독립 실행형 패키지를 다운로드하려면 Microsoft 업데이트 카탈로그 웹 사이트로 이동하세요.
방법 3: 업데이트 설치
Exchange Server 2013에 대 한이 보안 픽스를 포함 하는 누적 업데이트 7 또는 이후 업데이트를 설치 하는 것이 좋습니다.
상태
Microsoft는 "적용 대상" 절에 나열한 제품에서 이 문제를 확인했습니다.
