Проблемы
Симптомы 1: уязвимость подмены маркеров в Outlook Web App
В Microsoft Exchange Server существует уязвимость подмены маркеров. Это позволит злоумышленнику отправлять сообщения электронной почты, которые кажутся поступившими из надежного источника, и сообщения содержат ссылку на веб-сайт злоумышленника. В случае атаки через Интернет злоумышленник может разместить веб-сайт, который используется для использования этой уязвимости. Кроме того, скомпрометированные веб-сайты и веб-сайты, которые допускают или размещает указанные пользователем контент или рекламу, могут содержать специально сконструированное содержимое, которое может использовать данную уязвимость. Тем не менее, в большинстве случаев злоумышленник не может заставить пользователей просмотреть содержимое, контролируемое злоумышленником. Вместо этого злоумышленнику необходимо убедить пользователей сделать это, как правило, щелкнув ссылку в сообщении электронной почты или мгновенном сообщении, чтобы перевести пользователей на веб-сайт.
Симптомы 2: Уязвимость перенаправления URL-адресов Exchange
Злоумышленник может перенаправить пользователя на произвольный URL-адрес из ссылки, которая кажется источником из известного или доверенного домена.Примечания.
-
Для создания вредоносной ссылки необходимо, чтобы злоумышленник уже прошел проверку подлинности пользователя Exchange и смог отправлять сообщения электронной почты.
-
Вредоносную ссылку можно отправить в сообщении электронной почты, но злоумышленнику необходимо убедить пользователей открыть эту ссылку, чтобы воспользоваться этой уязвимостью.
Симптомы 3: несколько уязвимостей приложения Outlook Web App XSS
Злоумышленник, который успешно использует эти уязвимые места, может прочитать содержимое, которое ему не разрешено прочитать. Злоумышленник может также использовать удостоверение жертвы для выполнения действий на сайте Outlook Web App от имени жертвы, например изменения разрешений, удаления содержимого и вставки вредоносного содержимого в браузер жертвы.
Причина
Причина для симптомов 1
Эта проблема возникает из-за того, что Outlook Web App не проверяет маркер запроса должным образом.
Причина для симптомов 2
Эта проблема возникает из-за того, что Outlook Web App неправильно проверяет маркеры перенаправления.
Причина для симптомов 3
Эта проблема возникает из-за неправильной проверки входных данных на сервере Exchange Server.
Решение
Способ 1: обновление Windows
Это обновление доступно в Центре обновления Windows.
Способ 2: Каталог Центра обновления Майкрософт
Чтобы получить доступ к отдельному пакету для этого обновления, перейдите на веб-сайт каталога Центра обновления Майкрософт .
Способ 3: Установка обновления
Мы рекомендуем установить накопительный пакет обновления 7 или более поздней версии, которые содержат это исправление для системы безопасности для Exchange Server 2013.
Статус
Корпорация Майкрософт подтверждает наличие этой проблемы в своих продуктах, которые перечислены в разделе "Применяется к".
