Sintomas
Sintomas 1: Outlook Web App Token Spoofing Vulnerabilidade
Existe uma vulnerabilidade simbólica no Microsoft Exchange Server. Poderia permitir que um intruso enviasse mensagens de e-mail que parecem vir de uma fonte confiável, e as mensagens contêm um link para um site do intruso. Num cenário de ataque baseado na web, um intruso poderia hospedar um site que é usado para tentar explorar esta vulnerabilidade. Além disso, websites e websites comprometidos que aceitem ou hospedam conteúdo ou anúncios fornecidos pelo utilizador podem conter conteúdo especialmente elaborado que possa explorar esta vulnerabilidade. No entanto, em quase todos os casos, um intruso não pode forçar os utilizadores a visualizar o conteúdo controlado pelo atacante. Em vez disso, um intruso teria de convencer os utilizadores a tomar medidas, normalmente fazendo-os clicar num link numa mensagem de e-mail ou numa mensagem instant messenger, para levar os utilizadores ao seu website.
Sintomas 2: Vulnerabilidade de reorientação do URL de troca
Um intruso pode redirecionar um utilizador para um URL arbitrário a partir de um link que parece ter origem num domínio conhecido ou de confiança.Notas
-
Para gerar o link malicioso, um intruso já deve ser um utilizador de Intercâmbio autenticado e ser capaz de enviar mensagens de correio eletrónico.
-
O link malicioso poderia ser enviado num e-mail, mas o atacante teria de convencer os utilizadores a abrir o link para explorar a vulnerabilidade.
Sintomas 3: Vulnerabilidades xSS da aplicação web de várias perspetivas
Um intruso que explora com sucesso estas vulnerabilidades poderia ler conteúdo que ele ou ela não está autorizado a ler. O agressor também poderia usar a identidade da vítima para tomar ações no site da App Outlook em nome da vítima, como alterar permissões, apagar conteúdo e injetar conteúdo malicioso no navegador da vítima.
Causa
Causa para sintomas 1
Este problema ocorre porque o Outlook Web App não valida adequadamente um token de pedido.
Causa para sintomas 2
Este problema ocorre porque o Outlook Web App não valida adequadamente tokens de reorientação.
Causa para sintomas 3
Este problema ocorre porque o Exchange Server não valida corretamente a entrada.
Resolução
Método 1: Atualização do Windows
Esta atualização está disponível a partir do Windows Update.
Método 2: Catálogo de atualizações da Microsoft
Para obter o pacote autónomo para esta atualização, vá ao site do Microsoft Update Catalog.
Método 3: Instalar uma atualização
Recomendamos a instalação de Update 7 cumulativo ou uma atualização posterior que contenha esta correção de segurança para o Exchange Server 2013.
Estado
A Microsoft confirmou que este problema ocorre nos produtos da Microsoft listados na secção "Aplica-se a".