Sintomas
Sintomas 1: vulnerabilidade de falsificação de token do Outlook Web App
Existe uma vulnerabilidade de falsificação de token no Microsoft Exchange Server. Ele pode permitir que um invasor envie mensagens de email que parecem vir de uma fonte confiável, e as mensagens contêm um link para um site do invasor. Em um cenário de ataque baseado na Web, um invasor pode hospedar um site que é usado para tentar explorar essa vulnerabilidade. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário ou anúncios podem conter conteúdo especialmente elaborado que pode explorar essa vulnerabilidade. No entanto, em quase todos os casos, um invasor não pode forçar os usuários a ver o conteúdo controlado pelo invasor. Em vez disso, um invasor teria que convencer os usuários a tomarem uma ação, normalmente ao fazer com que eles cliquem em um link em uma mensagem de email ou mensagem de chat para levar os usuários ao seu website.
Sintomas 2: vulnerabilidade de redirecionamento de URL do Exchange
Um invasor pode redirecionar um usuário para uma URL arbitrária a partir de um link que parece ter origem em um domínio conhecido ou confiável.Observações
-
Para gerar o link mal-intencionado, um invasor já deve ser um usuário autenticado do Exchange e ser capaz de enviar mensagens de email.
-
O link mal-intencionado pode ser enviado em um email, mas o invasor teria que convencer os usuários a abrir o link para explorar a vulnerabilidade.
Sintomas 3: várias vulnerabilidades XSS do Outlook Web App
Um invasor que explora com sucesso essas vulnerabilidades pode ler o conteúdo que ele não tem autorização para ler. O invasor também pode usar a identidade da vítima para executar ações no site do Outlook Web App em nome da vítima, como alterar permissões, excluir conteúdo e injetar conteúdo mal-intencionado no navegador da vítima.
Causa
Causa dos sintomas 1
Esse problema ocorre porque o Outlook Web App não valida corretamente um token de solicitação.
Causa para sintomas 2
Esse problema ocorre porque o Outlook Web App não valida corretamente tokens de redirecionamento.
Causa para os sintomas 3
Esse problema ocorre porque o Exchange Server não valida corretamente a entrada.
Resolução
Método 1: Windows Update
Esta atualização está disponível no Windows Update.
Método 2: Catálogo do Microsoft Update
Para obter o pacote autônomo desta atualização, acesse o site do Catálogo do Microsoft Update.
Método 3: instalar uma atualização
Recomendamos instalar a atualização cumulativa 7 ou uma atualização posterior que contenha essa correção de segurança para o Exchange Server 2013.
Status
A Microsoft confirmou que este é um problema nos produtos Microsoft listados na seção "Aplicável a".