微软今日(15日)紧急发布安全公告,确认一个影响本地部署Exchange Server(2016/2019/SE版本)的零日漏洞正遭到野外积极利用。
攻击手法:该漏洞属于输入验证不当缺陷(跨站脚本XSS)。黑客只需向目标用户发送一封特制的恶意邮件。
后果:只要受害者在Outlook Web Access (OWA)中打开该邮件,无需进一步点击,即可在浏览器上下文中静默执行任意JavaScript代码,从而窃取企业邮箱凭证并接管会话。目前英国NHS已确认其面临高度利用风险。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
