Príznaky
Príznaky 1: chyba zabezpečenia tokenu falšovania v aplikácii Outlook Web App
Na serveri Microsoft Exchange Server existuje Napadnuteľnosť tokenu. Môže umožniť útočníkovi odosielať e-mailové správy, ktoré sa zdajú pochádzať z dôveryhodného zdroja, a správy obsahujú prepojenie na webovú lokalitu útočníka. V scenári webového útoku môže útočník hostiť webovú lokalitu, ktorá sa používa na vyskúšanie tejto zraniteľnosti. Okrem toho, ohrozené webové lokality a webové lokality, ktoré akceptujú alebo používajú obsah alebo reklamy vytvorené používateľom, môžu obsahovať špeciálne vytvorený obsah, ktorý by mohol zneužiť túto zraniteľnosť. V takmer každom prípade však útočník nemôže vynútiť používateľov, aby zobrazili riadený obsah útočníka. Namiesto toho bude musieť útočník presvedčiť používateľov, aby vykonali kroky, zvyčajne tým, že kliknú na prepojenie v e-mailovej správe alebo v správe cez okamžité správy, aby sa používateľom zobrazila webová lokalita.
Príznaky 2: zraniteľnosť presmerovania URL adresy servera Exchange
Útočník môže presmerovať používateľa na ľubovoľnú URL adresu z prepojenia, z ktorého sa zdá, že pochádzajú zo známej alebo dôveryhodnej domény.Poznámky
-
Ak chcete vytvoriť škodlivé prepojenie, útočník už musí byť overeným používateľom servera Exchange a môže byť schopný odosielať e-mailové správy.
-
Škodlivé prepojenie sa môže odoslať e-mailom, ale útočník bude musieť presvedčiť používateľov, aby otvorili prepojenie s cieľom zneužiť zraniteľnosť.
Príznaky 3: viac Outlook Web App XSS zraniteľnosť
Útočník, ktorý úspešne využíva tieto chyby, môže prečítať obsah, ktorý nemá povolenie na čítanie. Útočník môže tiež použiť identitu obete na vykonávanie akcií na lokalite aplikácie Outlook Web App v mene obete, ako je napríklad zmena povolení, odstraňovanie obsahu a vstrekovanie škodlivého obsahu v prehliadači obete.
Príčina
Príčina príznakov 1
Tento problém sa vyskytuje, pretože aplikácia Outlook Web App nesprávne neoveruje token žiadosti.
Príčina príznakov 2
Tento problém sa vyskytuje, pretože aplikácia Outlook Web App nesprávne neoveruje tokeny presmerovania.
Príčina príznakov 3
Tento problém sa vyskytuje, pretože Exchange Server správne neoveruje vstup.
Riešenie
Postup 1: Windows Update
Táto aktualizácia je k dispozícii na Windows Update.
Metóda 2: Katalóg aktualizácie spoločnosti Microsoft
Ak chcete získať samostatný balík pre túto aktualizáciu, prejdite na webovú lokalitu katalógu služby Microsoft Update .
Metóda 3: Inštalácia aktualizácie
Odporúčame nainštalovať Kumulatívna aktualizácia 7 alebo novšiu aktualizáciu, ktorá obsahuje túto opravu zabezpečenia pre Exchange Server 2013.
Stav
Spoločnosť Microsoft potvrdzuje, že ide o problém v produktoch spoločnosti Microsoft, ktoré sú uvedené v tomto článku v časti Informácie v tomto článku sa týkajú nasledujúcich produktov.