「Microsoft Exchange」にサーバの管理者権限を取得される脆弱性(JVN)
IPAおよびJPCERT/CCは、Microsoft社が提供する「Microsoft Exchange」にサーバの管理者権限を取得される脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
「Microsoft Exchange 2013 およびそれ以降」は、HTTPを介したNTLM認証でNTLM SignフラグおよびSealフラグが設定されていない。署名が行われていないためNTLM認証データを中継することによる攻撃が可能となる脆弱性が存在する。Microsoft Exchangeは、初期設定においてActive Directoryドメイン内のオブジェクトに対し大きな権限を持つ。また、Exchange Windows PermissionsグループにはオブジェクトへのWriteDacl権限が許可されている。
このことから、本脆弱性を悪用してExchangeサーバの権限を取得されることで、さらにDomain Admin権限を取得される可能性がある。これにより、Exchangeのメールボックスアカウントを持ち、ExchangeサーバおよびWindowsドメインコントローラと通信できるユーザにより、ドメインの管理者権限を取得される可能性がある。なお、Exchangeメールボックスアカウントのパスワードを知らなくても、Exchangeサーバと同じセグメントに接続していればNTLM認証データを中継する攻撃は可能であると報告されている。
現時点で対策方法は公開されておらず、JVNでは、「EWS サブスクリプション機能を無効にする」「Exchange がドメイン内のオブジェクトに対して持つ権限を削除する」といったワークアラウンドを検討するよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
-
Microsoft Windows において computerDefault.exe の実装不備を悪用して UAC による制限を回避可能となる手法(Scan Tech Report)
脆弱性と脅威 -
2019 年新春の決意:お年玉で絶対に買ってはいけない「最新技術製品」(The Register)
国際 -
Adobe Flash Player において Use-After-Free の脆弱性により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)
脆弱性と脅威 -
全くの無知よりも予備知識がある方がフィッシング詐欺にかかりやすい:米大学研究結果(The Register)
国際
関連リンク
特集
アクセスランキング
-
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
-
東京高速道路のメールアカウントを不正利用、大量のメールを送信
-
バッファロー製無線 LAN ルータに複数の脆弱性
-
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
-
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート
-
Windows DNS の脆弱性情報が公開
-
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
-
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず
-
インフォマート 公式 Facebook ページに不正ログイン
-
山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化