Simptomi
Simptomima 1: Outlook Web App Token koji lažno predstavlja ranjivost
U Microsoft Exchange serveru postoji simbol koji lažno predstavlja ranjivost. Može da dozvoli napadaču da pošalje e-poruke koje deluju kao da dolaze iz pouzdanog izvora, a poruke sadrže vezu do Web lokacije napadača. U scenariju za napad na vebu, napadač može da bude domaćin Web lokacije koja se koristi za korišćenje ove ranjivosti. Pored toga, ugrožene Veb lokacije i Veb lokacije koje prihvataju ili hostuje sadržaj ili reklame koje obezbeđuje korisnik, mogu da sadrže specijalno izrađen sadržaj koji bi mogao da iskoristi ovu ranjivost. Međutim, u gotovo svakom slučaju napadač ne može da primora korisnike da pregledaju sadržaj kontrolisanog napadača. Umesto toga, napadač bi morao da ubedi korisnike da preduzmu korake, obično tako što kliknu na vezu u e-poruci ili hitnoj Messenger poruci, da preuzmu korisnike na svoju Veb lokaciju.
Simptomi 2: Exchange URL ranjivosti preusmeravanja
Napadač može preusmeriti korisnika na proizvoljnu URL adresu iz veze koja deluje kao da potiče iz poznatog ili pouzdanog domena.Napomene
-
Da bi generisala zlonamernu vezu, napadač već mora da bude autorizovani korisnik Exchange servera i može da pošalje e-poruke.
-
Zlonamerna veza može biti poslata u e-poruci, ali napadač će morati da ubedi korisnike da otvore vezu da bi eksploatiše ranjivost.
Simptomi 3: višestruke ranjivosti Outlook Web aplikacije XSS
Napadač koji uspešno koristi ove ranjivosti mogao bi da pročita sadržaj koji on ili ona nije ovlašćen da čita. Napadač bi takođe mogao da koristi identitet žrtve da bi na lokaciji u ime žrtve trebalo da preduzme radnje, kao što su promena dozvola, Brisanje sadržaja i izbacivanje zlonamernog sadržaja u pregledaču žrtve.
Uzrok
Uzrok simptoma 1
Do ovog problema dolazi zato što Outlook Web aplikacija ne proverava ispravno valjanost simbola zahteva.
Uzrok simptoma 2
Do ovog problema dolazi jer Outlook Web aplikacija ne proverava ispravno preusmeravanje Tokena.
Uzrok simptoma 3
Do ovog problema dolazi zato što Exchange Server ne proverava ispravno unos.
Rešenje
1. metod: Windows Update
Ova ispravka je dostupna na lokaciji Windows Update.
2. metod: Microsoft Update Catalog
Da biste dobili samostalni paket za ovu ispravku, posetite Veb lokaciju Microsoft Update Catalog .
3. metod: instalacija ispravke
Preporučujemo da instalirate kumulativnu ispravku 7 ili noviju ispravku koja sadrži ovu bezbednosnu ispravku za Exchange Server 2013.
Status
Microsoft je potvrdio da je ovo problem kod Microsoft proizvoda koji su navedeni u odeljku "odnosi se na".