マイクロソフトは8月11日,Exchange Server 5.5 にセキュリティ・ホールが見つかったことを明らかにした。Outlook Web Access(OWA)を有効にしている場合だけ影響を受ける。セキュリティ・ホールを悪用すれば,Exchange Serverのユーザーに任意のスクリプトを実行させることなどが可能となる。セキュリティ・ホールの深刻度は上から3番目(下から2番目)の「警告」。対策はパッチを適用すること。Exchange 2000 ServerやExchange Server 2003は影響を受けない。

 OWAとは,Exchange Server のサービス(コンポーネント)の一つ。OWAを利用すれば,Exchangeのメール・ボックスにWebブラウザでアクセスできるようになる。今回,Exchange Server 5.5のOWAにクロスサイト・スクリプティングのセキュリティ・ホールが見つかった。Exchange Server 5.5 OWAが,ある特定の入力値を検証しないことが原因である。このため,Exchange Server 5.5 OWAのユーザーに悪意のあるスクリプトを実行させたり,Exchange Serverに保存されている情報を盗んだりすることが可能となる。

 ただし,今回のセキュリティ・ホールを突いた攻撃を“成功”させるには,攻撃対象のユーザーに細工を施したリンクをクリックさせる必要がある。また,Exchange Serverマシン自体を攻撃することはできない。このため,セキュリティ・ホールの深刻度は「警告」に設定されている。

 対策はパッチを適用すること。セキュリティ情報のページからダウンロードできる。パッチの適用対象は,Exchange Server 5.5 Service Pack 4。なお,今回公開されたパッチは,過去に公開された「MS03-047」のパッチを含む“累積”パッチである。また,パッチを適用すると,特定のASPファイルが上書きされるので要注意。それらのファイルをカスタマイズしている場合には,パッチの適用前にバックアップを取っておく必要がある。上書きされるASPファイル名については,セキュリティ情報を参照してほしい。

 パッチを適用できない環境では,OWAを無効にすれば回避できる。無効にする具体的な手順については,セキュリティ情報を参照してほしい。

◎参考資料
2004年8月のセキュリティ情報
Exchange Server 5.5 Outlook Web Access の脆弱性により,クロスサイト スクリプティングと詐称による攻撃が実行される (842436) (MS04-026)
マイクロソフト セキュリティ情報 (MS04-026) : よく寄せられる質問

(勝村 幸博=IT Pro)