現象
現象 1: Outlook Web App Token のなりすましの脆弱性
トークンのスプーフィングの脆弱性は、Microsoft Exchange Server に存在します。 攻撃者は、信頼できるソースから送られているように見えるメールメッセージを送信することができ、メッセージには攻撃者の web サイトへのリンクが含まれます。 Web ベースの攻撃シナリオでは、攻撃者はこの脆弱性を悪用するために使用される web サイトをホストする可能性があります。 さらに、ユーザーによって提供されたコンテンツまたはアドバタイズを承認またはホストしている web サイトや web サイトには、この脆弱性を悪用する特別な細工されたコンテンツが含まれる可能性があります ただし、ほとんどの場合、攻撃者はユーザーに攻撃者によって制御されたコンテンツを表示させることはできません。 通常、攻撃者は、ユーザーに対して、メールメッセージまたはインスタントメッセージ内のリンクをクリックしてユーザーを web サイトに移動させることによって、操作を行う必要があります。
現象 2: Exchange URL リダイレクションの脆弱性
攻撃者は、既知または信頼できるドメインから発信されたリンクから任意の URL にユーザーをリダイレクトすることができます。注意事項
-
攻撃者は、悪意のあるリンクを生成するには、既に認証された Exchange ユーザーであり、メールメッセージを送信できる必要があります。
-
悪意のあるリンクはメールで送信されることがありますが、攻撃者はユーザーにその脆弱性を悪用するためにリンクを開くように誘導する必要があります。
現象 3: 複数の Outlook Web App XSS の脆弱性
攻撃者がこれらの脆弱性を悪用した場合、ユーザーが読む権限がないコンテンツを読み取ることができます。 また、攻撃者は、対象ユーザーの id を使用して、アクセス許可の変更、コンテンツの削除、悪意のあるコンテンツの挿入など、ユーザーの代わりに Outlook Web App サイトでの操作を実行することもできます。
原因
現象1の原因
この問題は、Outlook Web App が要求トークンを適切に検証しないために発生します。
現象2の原因
この問題は、Outlook Web App がリダイレクショントークンを正しく検証していないために発生します。
現象3の原因
この問題は、Exchange Server によって入力が正しく検証されないために発生します。
解決方法
方法 1: Windows Update
この更新プログラムは、Windows Update から取得できます。
方法 2: Microsoft Update カタログ
この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトに移動してください。
方法 3: 更新プログラムをインストールする
このセキュリティ修正プログラム7または Exchange Server 2013 用の更新プログラムをインストールすることをお勧めします。
状態
マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。
