徵狀
症狀1: Outlook Web App 權杖欺騙漏洞
Microsoft Exchange Server 中存在權杖欺騙漏洞。 這可讓攻擊者傳送看起來來自受信任來源的電子郵件訊息,而郵件則會包含攻擊者的網站連結。 在以網路為基礎的攻擊案例中,攻擊者可以主持用來嘗試利用此漏洞的網站。 此外,受到危害的網站和接受或主持使用者提供的內容或廣告的網站,都可能包含巧盡心思設計的內容,可利用此漏洞。 不過,在幾乎所有情況下,攻擊者都無法強迫使用者查看受攻擊者控制的內容。 相反地,攻擊者必須說服使用者採取動作,通常是只要按一下電子郵件訊息或立即訊息中的連結,就能將使用者帶到自己的網站。
症狀2: Exchange URL 重新導向漏洞
攻擊者可以將使用者重新導向到來自已知或信任網域之連結的任意 URL。注意事項
-
若要產生惡意連結,攻擊者必須已成為經過驗證的 Exchange 使用者,且能夠傳送電子郵件訊息。
-
惡意連結可能會透過電子郵件傳送,但攻擊者必須說服使用者開啟連結,才能利用此漏洞。
症狀3:多個 Outlook Web App XSS 漏洞
成功利用這些漏洞的攻擊者,可能會讀取他/她無權讀取的內容。 攻擊者也可以使用受害者的身分識別,在 Outlook Web App 網站上代表受攻擊者採取動作,例如變更許可權、刪除內容,以及將惡意內容插入受害者的瀏覽器中。
原因
症狀1的原因
發生此問題的原因是 Outlook Web App 無法正確驗證要求權杖。
症狀2的原因
發生此問題的原因是 Outlook Web App 無法正確驗證重新導向權杖。
症狀3的原因
發生這個問題是因為 Exchange Server 沒有正確驗證輸入。
解決方案
方法 1: Windows Update
此更新可從 [ Windows update] 中取得。
方法 2: Microsoft Update Catalog
若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。
方法3:安裝更新
我們建議您安裝累積更新 7或更新版本,其中包含適用于 Exchange Server 2013 的安全性修正程式。
狀態
Microsoft 已確認本篇文章<適用於>一節所列之 Microsoft 產品確實有上述問題。