發佈時間: 2015 年 6 月 9 日
版本: 1.0
此安全性更新可解決 Microsoft Exchange Server 中的弱點。 如果已驗證的使用者按兩下特製網頁的連結,最嚴重的弱點可能會允許提高許可權。 攻擊者無法強制使用者瀏覽網站。 相反地,攻擊者必須說服用戶按兩下連結,通常是透過電子郵件或Instant Messenger 訊息中的誘因。
此安全性更新會針對所有支援的 Microsoft Exchange Server 2013 版本評為重要。 如需詳細資訊,請參閱 受影響的軟體 一節。
安全性更新可藉由下列方式解決弱點:
- 修改 Exchange Web 應用程式如何管理相同原始原則
- 修改 Exchange Web 應用程式如何管理使用者會話驗證
- 更正 Exchange Web 應用程式如何清理 HTML 字串
如需弱點的詳細資訊,請參閱 弱點資訊 一節。
如需本文件的詳細資訊,請參閱 Microsoft 知識庫文章3062157。
下列軟體版本或版本受到影響。 未列出的版本或版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱 Microsoft 支援服務 生命週期。
| 軟體 | 最大安全性影響 | 匯總嚴重性評等 | 更新 已取代 |
|---|---|---|---|
| Microsoft Server Software | |||
| Microsoft Exchange Server 2013 Service Pack 1 (3062157) | 提高權限 | 重要 | 無 |
| Microsoft Exchange Server 2013 累積更新 8 (3062157) | 提高權限 | 重要 | 無 |
此更新是否包含功能的任何非安全性相關變更?
否,Exchange Server 2013 安全性 更新 只包含安全性公告中所識別問題的修正程式。
下列嚴重性評等假設弱點的潛在最大影響。 如需有關此安全性布告欄發行 30 天內有關弱點嚴重性評等和安全性影響之惡意探索性的資訊,請參閱 6 月公告摘要中的惡意探索性索引。
| 受影響軟體的弱點嚴重性分級和安全性影響上限 | ||||
|---|---|---|---|---|
| 受影響的軟體 | Exchange 伺服器端要求偽造弱點 - CVE-2015-1764 | Exchange 跨網站要求偽造弱點 - CVE-2015-1771 | Exchange HTML 插入弱點 - CVE-2015-2359 | 匯總嚴重性評等 |
| Microsoft Server Software | ||||
| Microsoft Exchange Server 2013 Service Pack 1 (3062157) | 重要資訊洩漏 | 重要提高許可權 | 不適用 | 重要 |
| Microsoft Exchange Server 2013 累積更新 8 (3062157) | 重要資訊洩漏 | 重要提高許可權 | 重要資訊洩漏 | 重要 |
當 Exchange 未正確管理相同原始原則時,Microsoft Exchange Web 應用程式中存在資訊洩漏弱點。 攻擊者可以使用特製的 Web 應用程式要求,利用此 伺服器端要求偽造(SSRF) 弱點。 成功惡意探索此弱點的攻擊者接著可能會:
- 掃描和攻擊防火牆後方通常無法從外部世界存取的系統
- 列舉和攻擊在這些主機系統上執行的服務
- 惡意探索主機型驗證服務
Exchange Web 應用程式主要面臨此弱點的風險。 更新會修改 Exchange Web 應用程式管理相同原始原則的方式來解決弱點。
Microsoft 透過協調的弱點洩漏收到此弱點的相關信息。 發佈此安全性布告欄時,Microsoft 未收到任何資訊,指出此弱點已公開用來攻擊客戶。
Microsoft 尚未識別此弱點的任何 緩和因素 。
Microsoft 尚未識別此弱點的任何 因應措施 。
當 Exchange 未正確管理使用者工作階段時,Microsoft Exchange Web 應用程式中存在特權提升弱點。 若要利用此 跨網站偽造要求(CSRF/XSRF) 弱點,必須向目標網站驗證受害者(已登入)。
在網頁式攻擊案例中,攻擊者可以裝載網站(或利用接受或裝載使用者提供內容的遭入侵網站),其中包含專為惡意探索弱點而設計的網頁。 攻擊者無法強制使用者瀏覽網站。 相反地,攻擊者必須說服用戶按兩下連結,通常是透過電子郵件或Instant Messenger 訊息中的誘因。 成功惡意探索此弱點的攻擊者可能會讀取攻擊者未獲授權讀取的內容、使用受害者身分識別代表受害者對 Web 應用程式採取動作,例如變更許可權和刪除內容,並在受害者瀏覽器中插入惡意內容。
Exchange Web 應用程式主要面臨此弱點的風險。 更新會藉由修改 Exchange Web 應用程式管理使用者會話驗證的方式來解決弱點。
Microsoft 透過協調的弱點洩漏收到此弱點的相關信息。 發佈此安全性布告欄時,Microsoft 未收到任何資訊,指出此弱點已公開用來攻擊客戶。
Microsoft 尚未識別此弱點的任何 緩和因素 。
Microsoft 尚未識別此弱點的任何 因應措施 。
當 Exchange 未正確清理 HTML 字串時,Microsoft Exchange Web 應用程式中存在資訊洩漏弱點。 若要惡意探索此 HTML 插入 式弱點,攻擊者必須能夠將特製腳本提交至使用 HTML 清理的目標網站。 弱點存在的地方,在特定情況下,特製腳本並未正確清理。 然後,攻擊者提供的腳本可以在檢視惡意內容的使用者的安全性內容中執行。
針對 HTML 插入式攻擊,此弱點要求用戶必須造訪遭入侵的網站,才能發生任何惡意動作。 例如,在攻擊者成功將特製腳本提交至使用 HTML 清理的目標網站之後,包含特製腳本的該網站上任何網頁都是持續性跨網站腳本攻擊的潛在向量。 當使用者流覽包含特製腳本的網頁時,腳本可以在使用者的安全性內容中執行。
用戶連線到清理 HTML 字串的網站,例如工作站或終端機伺服器等系統,主要有風險。 更新會修正 Exchange Web 應用程式如何清理 HTML 字串來解決弱點。
Microsoft 透過協調的弱點洩漏收到此弱點的相關信息。 發佈此安全性布告欄時,Microsoft 未收到任何資訊,指出此弱點已公開用來攻擊客戶。
Microsoft 尚未識別此弱點的任何 緩和因素 。
Microsoft 尚未識別此弱點的任何 因應措施 。
如需安全性更新部署資訊,請參閱執行摘要中參考的 Microsoft 知識庫文章。
Microsoft 可辨識安全性社群中協助我們透過協調弱點洩漏保護客戶的工作。 如需詳細資訊,請參閱通知。
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
- V1.0 (2015 年 6 月 9 日):發佈公告。
頁面產生的 2015-06-03 12:16Z-07:00。