Applies ToExchange Server 2013 SP1 Exchange Server 2013 Enterprise Edition Exchange Server 2013 Standard Edition

徵狀

症狀1: Outlook Web App 權杖欺騙漏洞

Microsoft Exchange Server 中存在權杖欺騙漏洞。 這可讓攻擊者傳送看起來來自受信任來源的電子郵件訊息,而郵件則會包含攻擊者的網站連結。 在以網路為基礎的攻擊案例中,攻擊者可以主持用來嘗試利用此漏洞的網站。 此外,受到危害的網站和接受或主持使用者提供的內容或廣告的網站,都可能包含巧盡心思設計的內容,可利用此漏洞。 不過,在幾乎所有情況下,攻擊者都無法強迫使用者查看受攻擊者控制的內容。 相反地,攻擊者必須說服使用者採取動作,通常是只要按一下電子郵件訊息或立即訊息中的連結,就能將使用者帶到自己的網站。

症狀2: Exchange URL 重新導向漏洞

攻擊者可以將使用者重新導向到來自已知或信任網域之連結的任意 URL。注意事項

  • 若要產生惡意連結,攻擊者必須已成為經過驗證的 Exchange 使用者,且能夠傳送電子郵件訊息。

  • 惡意連結可能會透過電子郵件傳送,但攻擊者必須說服使用者開啟連結,才能利用此漏洞。

症狀3:多個 Outlook Web App XSS 漏洞

成功利用這些漏洞的攻擊者,可能會讀取他/她無權讀取的內容。 攻擊者也可以使用受害者的身分識別,在 Outlook Web App 網站上代表受攻擊者採取動作,例如變更許可權、刪除內容,以及將惡意內容插入受害者的瀏覽器中。

原因

症狀1的原因

發生此問題的原因是 Outlook Web App 無法正確驗證要求權杖。

症狀2的原因

發生此問題的原因是 Outlook Web App 無法正確驗證重新導向權杖。

症狀3的原因

發生這個問題是因為 Exchange Server 沒有正確驗證輸入。

解決方案

方法 1: Windows Update

此更新可從 [ Windows update] 中取得。

方法 2: Microsoft Update Catalog

若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。

方法3:安裝更新

我們建議您安裝累積更新 7或更新版本,其中包含適用于 Exchange Server 2013 的安全性修正程式。

狀態

Microsoft 已確認本篇文章<適用於>一節所列之 Microsoft 產品確實有上述問題。

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

社群可協助您詢問並回答問題、提供意見反應,以及聆聽來自具有豐富知識的專家意見。