症状
症状1: Outlook Web App 令牌欺骗漏洞
Microsoft Exchange Server 中存在令牌欺骗漏洞。 它可能允许攻击者发送看似来自受信任源的电子邮件,并且邮件包含指向攻击者网站的链接。 在基于 web 的攻击情形中,攻击者可以托管用于尝试利用此漏洞的网站。 此外,受影响的网站和接受或托管用户提供的内容或广告的网站可能包含可利用此漏洞的巧尽心思构建的内容。 但是,在几乎每种情况下,攻击者都无法强制用户查看攻击者控制的内容。 相反,攻击者必须说服用户执行操作,通常是让用户单击电子邮件或即时消息中的链接,以让用户进入其网站。
症状2: Exchange URL 重定向漏洞
攻击者可以将用户从看似来自已知或受信任域的链接重定向到任意 URL。注意
-
若要生成恶意链接,攻击者必须已是经过身份验证的 Exchange 用户,并且能够发送电子邮件。
-
恶意链接可能会通过电子邮件发送,但攻击者必须说服用户打开该链接才能利用该漏洞。
症状3:多个 Outlook Web App XSS 漏洞
成功利用这些漏洞的攻击者可以读取他或她未经授权阅读的内容。 攻击者还可以使用受害者的身份代表受攻击者在 Outlook Web App 网站上执行操作,例如更改权限、删除内容以及将恶意内容注入到受攻击主机的浏览器。
原因
症状1的原因
出现此问题的原因是 Outlook Web App 无法正确验证请求令牌。
症状2的原因
出现此问题的原因是 Outlook Web App 无法正确验证重定向令牌。
症状3的原因
出现此问题的原因是 Exchange 服务器无法正确验证输入。
解决方案
方法 1: Windows 更新
可以通过 Windows 更新获取此更新程序。
方法 2: Microsoft 更新目录
若要获取此更新的独立程序包,请转到 Microsoft 更新目录网站。
方法3:安装更新
我们建议安装包含 Exchange Server 2013 的此安全修补程序的累积更新 7或更高版本更新。
状态
Microsoft 已确认这是在“适用范围”部分中列出的 Microsoft 产品存在的问题。