Silverlight をインストールするには、ここをクリックします*
Japan変更|すべてのMicrosoft のサイト
Microsoft TechNet
サイトの検索
TechNet セキュリティ > マイクロソフト セキュリティ アドバイザリ

マイクロソフト セキュリティ アドバイザリ (2401593)

Outlook Web Access の脆弱性により、特権が昇格される

公開日: 2010年9月15日 | 最終更新日: 2010年9月15日
要訳

お知らせ内容

脆弱性の公開

更新プログラム

なし
影響を受けないバージョンの Microsoft Exchange Server へのアップグレードをご検討ください。

被害報告

なし

回避策

あり

対応方法

回避策の適用をご検討ください。

※ 上記の情報は、公開日または最終更新日の情報を基に作成しています。

概説

概要

マイクロソフトは一般で公開された、Microsoft Exchange Server をご使用のお客様に影響を及ぼす Outlook Web Access (OWA) の脆弱性の調査を完了しました。攻撃者がこの脆弱性を悪用した場合、認証された OWA のセッションをハイジャックする可能性があります。攻撃者はその後、ユーザーが知らないうちに、有効な OWA セッションのセキュリティ コンテキストで、認証ユーザーに代わって動作を実行する可能性があります。

この脆弱性はサポートされているエディションの Microsoft Exchange Server 2003 および Microsoft Exchange Server 2007 (Microsoft Exchange Server 2007 Service Pack 3 を除く) に影響を及ぼします。Microsoft Exchange Server 2000、Microsoft Exchange Server 2007 Service Pack 3 および Microsoft Exchange Server 2010 はこの脆弱性の影響を受けません。詳細情報は、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」をご覧ください。

マイクロソフトは、お客様が影響を受けるエディションの Microsoft Exchange Server を実行中の場合、影響を受けないバージョンの Microsoft Exchange Server にアップグレードしてこの脆弱性を解決することを推奨します。現時点で、アップグレードができないお客様は、「回避策」のセクションで、攻撃者によるこの脆弱性の悪用を制限する方法に関するオプションを確認できます。

現時点で、マイクロソフトはこの脆弱性を悪用しようとする攻撃を確認していません。マイクロソフトは脅威のランドスケープを引き続き監視し、この状況に変化が生じた場合、このアドバイザリを更新する予定です。

Top of sectionTop of section

アドバイザリの詳細

問題の参照情報

この問題の詳細については、以下の参照情報をご覧ください。

参照情報番号

CVE リファレンス

CVE-2010-3213

Top of sectionTop of section

影響を受けるソフトウェアおよび影響を受けないソフトウェア

このアドバイザリは次のソフトウェアについて説明しています。

影響を受けるソフトウェア:

Microsoft Exchange Server 2003 Service Pack 2

Microsoft Exchange Server 2007 Service Pack 1

Microsoft Exchange Server 2007 Service Pack 2

影響を受けないソフトウェア :

Microsoft Exchange Server 2000 Service Pack 3

Microsoft Exchange Server 2007 Service Pack 3

Microsoft Exchange Server 2010

Microsoft Exchange Server 2010 Service Pack 1

Top of sectionTop of section

よく寄せられる質問

このアドバイザリの目的は何ですか? 
マイクロソフトは、Microsoft Exchange Server の Outlook Web Access (OWA) に影響を与える、新たな脆弱性の報告を確認しました。これは「概要」の欄に記載されているソフトウェアに影響を及ぼします。

Exchange Outlook Web Access (OWA) とは何ですか? 
Outlook Web Access (OWA) とは、Microsoft Exchange Server 5.0 およびそれ以降のバージョンの Web メール サービスです。Outlook Web Access の Web インターフェイスは Microsoft Outlook のインターフェイスに類似しています。Outlook Web Access は Microsoft Exchange Server の一部です。

この脅威は何が原因で起こりますか? 
特定の状況で、攻撃者が認証済みの OWA セッションをハイジャックして、ユーザーが気づかないうちに、ユーザーの代わりに動作を実行する可能性があります。

攻撃者は、この脆弱性を悪用して何を行う可能性がありますか? 
攻撃者がこの脆弱性を悪用した場合、有効な OWA セッションのセキュリティ コンテキストで認証済みユーザーの代わりに動作を実行し、電子メール メッセージを読む、新しい受信トレイ ルールを追加する、または OWA のユーザー設定を変更したりする可能性があります。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか? 
攻撃者はこの脆弱性を悪用して、有効な OWA のセッション中に、標的の Exchange のドメイン用に特別に細工した悪質な Web ページに、標的のユーザーを訪問させる可能性があります。

どうしてこの脆弱性を解決するセキュリティ更新プログラムがないのですか? 
この脆弱性を解決するには、OWA の新しい http リクエストの検証のフレームワークを実装して、攻撃者がユーザーの OWA セッションをハイジャックできないようにするためのデザイン変更が必要になるため、セキュリティ更新プログラムは利用できません。マイクロソフトは、デザイン変更による影響を受けるバージョンの Microsoft Exchange Server への影響が、お客様の環境を不安定にし、破壊するリスクがあまりにも高いと考え、今回の判断を下しました。

更新プログラムが利用できない製品のバージョンを使用している場合は、どうすればよいですか? 
影響を受けるエディションの Microsoft Exchange Server を実行中の管理者は、影響を受けないバージョンの Microsoft Exchange Server にアップグレードする必要があります。Microsoft Exchange Server 2007 Service Pack 3 および Microsoft Exchange Server 2010 はこの脆弱性の影響を受けません。

現時点で、アップグレードができないお客様は、「回避策」のセクションで、攻撃者によるこの脆弱性の悪用を制限する方法に関するオプションを確認できます。

このセキュリティアドバイザリで説明しているソフトウェアの旧バージョンを使用しています。どうすればよいですか? 
このアドバイザリに記載されている影響を受けるソフトウェアのテストを行い、影響を受けるリリースを確認しました。その他のリリースは、サポート ライフサイクルが終了しました。製品のライフサイクルに関する詳細情報は、マイクロソフト サポート ライフサイクルの Web サイトをご覧ください。

今後、脆弱性の影響を受けないようにするため、旧リリースのソフトウェアを使用しているお客様は、サポート対象のリリースに移行することを強く推奨します。使用しているソフトウェアのリリースのサポート ライフサイクルを確認するためには、プロダクト サポート ライフサイクル - 製品一覧をご覧ください。これらのソフトウェアのリリースのサービス パックの詳細情報は、サポート対象サービス パックをご覧ください。

以前のソフトウェアに関するカスタムサポートが必要なお客様は、担当営業、またはマイクロソフト アカウント チームの担当者、担当テクニカル アカウント マネージャ (TAM)、またはカスタム サポート オプションのマイクロソフト パートナー担当者までご連絡ください。プレミア契約をお持ちでないお客様は、マイクロソフトサポート契約センター (営業時間 9:30-12:00 13:00-19:00 土日祝祭日を除く TEL:0120-17-0196 FAX:03-5388-8253) までお問い合わせください。連絡先の情報は、Microsoft Worldwide Information Web サイト の Contact Information のプルダウン リストから、国を選択し、[Go] ボタンをクリックすると、連絡先の電話番号が表示されます。お問い合わせの際、お住まいの地域のプレミア サポート営業担当にご連絡ください。詳細情報は、マイクロソフト ライフサイクル ポリシー FAQ をご覧ください。

Top of sectionTop of section

問題を緩和する要素および推奨されるアクション

問題を緩和する要素

「問題を緩和する要素」とは、設定、一般的な構成または最善策、既定の状態に応じて、脆弱性が悪用される深刻度が低くなる可能性がある要素のことです。お客様の状況で、次の「緩和する要素」が役立つ場合があります。

Web ベースの攻撃のシナリオでは、攻撃者がこの脆弱性の悪用を意図した Web ページが含まれている Web サイトをホストする可能性があります。さらに、侵害された Web サイトおよびユーザーが提供したコンテンツまたは広告を受け入れる、またはホストしている Web サイトに特別に細工したコンテンツが含まれ、この脆弱性を悪用する可能性があります。しかし、すべての場合において、これらの Web サイトに強制的にユーザーを訪問させることはできません。それに代わり、攻撃者はユーザーを攻撃者の Web サイトに訪問させようとする可能性があります。一般的には、ユーザーに電子メール メッセージまたはインスタント メッセンジャーのメッセージ内のリンクをクリックさせ、攻撃者の Web サイトへ誘導します。

Top of sectionTop of section

回避策

次の回避策は、設定または構成の変更を示し、根本的な問題を修正するものではありませんが、攻撃者によりこの脆弱性が悪用される可能性を制限するために役立ちます。

注: これらの回避策は、既知の攻撃方法を阻止するものではありませんが、機能を選択的に無効にすることにより、攻撃者によるこの脆弱性の悪用方法が制限されます。

セグメンテーションを利用して規則を無効にする

セグメンテーションは pre-server 単位で実行し、Outlook Web Access の機能を変更します。攻撃者から Outlook Web Access の特定の機能が悪用されないように、管理者は選択的に機能を無効化し、セグメンテーションを実行することを選択できます。

Microsoft Exchange Server 2007 のセグメンテーションを使用して、規則を無効にする方法に関する情報は、TechNet の記事Outlook Web Access でセグメンテーションを管理する方法 をご覧ください。

Microsoft Exchange Server 2003 のセグメンテーションを使用して、規則を無効にする方法に関する情報は、サポート技術情報 833340 をご覧ください。

回避策の影響: 規則を無効にすると、OWA を介して攻撃者にユーザー規則を改ざんされたり、データが引き出されることを防ぎます。しかし、依然として攻撃者はその他のユーザー オプションを変更できます。この回避策の適用後、ユーザーは OWA を使用して規則の作成または更新をできなくなります。既存の規則は継続して実行できます。この回避策は、Outlook クライアントではなく Outlook Web Access の機能のみに影響します。

UrlScan を使用して、オプション パネルを無効にする

この回避策を適用することにより、攻撃者が OWA を介して Exchange のオプションを閲覧または改ざんできなくなり、このアドバイザリで説明している既知の攻撃の大部分を防ぐことができます。

UrlScan を使用して、オプション パネルを無効にする方法に関する情報は、サポート技術情報 2299129 をご覧ください。

回避策の影響: ユーザーは OWA を介して Exchange のオプションを変更できなくなります。上で説明しているように、オプションを無効にすると規則も無効になります。この回避策は、Outlook クライアントではなく Outlook Web Access の機能のみに影響します。

Top of sectionTop of section

追加の推奨されるアクション

影響を受けないバージョンの Microsoft Exchange Server にアップグレードする

マイクロソフトは影響を受けるエディションの Microsoft Exchange Server を実行中のお客様は影響を受けないバージョンの Microsoft Exchange Server にアップグレードしてこの脆弱性を解決することを推奨します。Microsoft Exchange Server 2007 Service Pack 3 および Microsoft Exchange Server 2010 はこの脆弱性の影響を受けません。

Windows を最新に保つ

すべての Windows ユーザーは、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、ユーザーのコンピューターが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update Web サイト で、利用可能な更新プログラムがあるかどうかに関してコンピューターをスキャンし、提供されている優先度の高い更新プログラムをインストールして下さい。自動更新を有効にしている場合は、更新プログラムのリリース時に配信されますが、インストールしたことを確認する必要があります。

Top of sectionTop of section
Top of sectionTop of section

関連情報

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。この様な保護環境を提供するセキュリティ ソフトウェアの製造元の情報は、Microsoft Active Protections Program (MAPP) Partners (英語情報) に記載されている各社のWeb サイトをご覧ください。

Top of sectionTop of section

フィードバック

フィードバックをご提供いただく際は、マイクロソフト サポート オンライン のフォームへ入力をお願いします。

Top of sectionTop of section

サポート

セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。マイクロソフト セキュリティ情報センター 利用可能なサポート オプションに関する詳細は マイクロソフト サポート オンライン をご覧ください。

その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。

Microsoft TechNet セキュリティ センター では、製品に関するセキュリティ情報を提供しています。

Top of sectionTop of section

免責条項

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。)結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

Top of sectionTop of section

更新履歴

2010/09/15: このアドバイザリを公開しました。

Top of sectionTop of section

 

Microsoft