OWA使用のExchangeサーバーに影響するクロスサイト・スクリプティング問題

危険度：中

2008年7月8日


【概要】

対象：
Outlook Web Accessを使用しているExchange Server

攻撃方法：
攻撃者はOWAセッション内で細工したメールをユーザーが開くように誘導する。

影響：
攻撃者は被害者のOWAメール・アカウントへのアクセスを獲得する。

対策：
できる限り早急に、状況に適したExchange Serverのパッチを導入すること。


【詳細】

OWA（アウトルック・ウェブ・アクセス）は、ユーザーが便利なウェブ・ページ経由でメールにアクセスすることを可能にするMicrosoft Exchangeに搭載されているサービスだ。

米国時間の7月8日、マイクロソフトは毎月報告するパッチ・アップデートの一環として、セキュリティ情報をりりースした。取り上げられているのは、OWAを使用するExchangeServerに影響を与えているクロスサイト・スクリプティング（XSS）問題2件である。両脆弱性は技術的には異なるが、そのスコープや影響は同じだ。ユーザーが、アクティブにしているOWAセッション経由で細工されたメールを開くように誘導された場合、攻撃者はXSS問題を悪用してユーザーのOWAアカウントへのアクセスを獲得できるようになる可能性がある。その場合、攻撃者はユーザーのメールを読んだり、送信したり削除したりすることができるようになる。


【対策】

マイクロソフトはこの問題を修正するパッチをリリースしている。できる限り早急に、状況に適したExchangeのパッチをダウンロードし、テストしてから導入することを勧める。

・Exchange Server 2003
・Exchange Server 2007
・Exchange Server 2007 w/SP1

ウォッチガード・ユーザー対象：

このタイプの攻撃は通常のメール・トラフィックに見せかけた状態で移動するが、ユーザーがメールを受信できるようにしておくには許可しておく必要があるため、上記のパッチをインストールすることが主な対策となる。


【ステータス】

マイクロソフトはこの問題を修正するパッチをリリースしている。


【参考資料】

・マイクロソフトのセキュリティ情報：MS08-039


この記事はコーリー・ナクライナー（Corey Nachreiner, CISSP）によって調査され書かれた記事です。