徵狀

症狀1: Outlook Web App 權杖欺騙漏洞

Microsoft Exchange Server 中存在權杖欺騙漏洞。 這可讓攻擊者傳送看起來來自受信任來源的電子郵件訊息,而郵件則會包含攻擊者的網站連結。 在以網路為基礎的攻擊案例中,攻擊者可以主持用來嘗試利用此漏洞的網站。 此外,受到危害的網站和接受或主持使用者提供的內容或廣告的網站,都可能包含巧盡心思設計的內容,可利用此漏洞。 不過,在幾乎所有情況下,攻擊者都無法強迫使用者查看受攻擊者控制的內容。 相反地,攻擊者必須說服使用者採取動作,通常是只要按一下電子郵件訊息或立即訊息中的連結,就能將使用者帶到自己的網站。

症狀2: Exchange URL 重新導向漏洞

攻擊者可以將使用者重新導向到來自已知或信任網域之連結的任意 URL。注意事項

  • 若要產生惡意連結,攻擊者必須已成為經過驗證的 Exchange 使用者,且能夠傳送電子郵件訊息。

  • 惡意連結可能會透過電子郵件傳送,但攻擊者必須說服使用者開啟連結,才能利用此漏洞。

症狀3:多個 Outlook Web App XSS 漏洞

成功利用這些漏洞的攻擊者,可能會讀取他/她無權讀取的內容。 攻擊者也可以使用受害者的身分識別,在 Outlook Web App 網站上代表受攻擊者採取動作,例如變更許可權、刪除內容,以及將惡意內容插入受害者的瀏覽器中。

原因

症狀1的原因

發生此問題的原因是 Outlook Web App 無法正確驗證要求權杖。

症狀2的原因

發生此問題的原因是 Outlook Web App 無法正確驗證重新導向權杖。

症狀3的原因

發生這個問題是因為 Exchange Server 沒有正確驗證輸入。

解決方案

方法 1: Windows Update

此更新可從 [ Windows update] 中取得。

方法 2: Microsoft Update Catalog

若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。

方法3:安裝更新

我們建議您安裝累積更新 7或更新版本,其中包含適用于 Exchange Server 2013 的安全性修正程式。

狀態

Microsoft 已確認本篇文章<適用於>一節所列之 Microsoft 產品確實有上述問題。

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×