Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Exchange Server」の深刻な脆弱性、MSがアップデートを開発中

「Microsoft Exchange Server」に権限昇格の脆弱性「PrivExchange」 が見つかった問題で、マイクロソフトは脆弱性を修正するアップデートを開発中であることを明らかにした。緩和策についてもアナウンスしている。

同製品において他ユーザーになりすまし、管理者権限を取得することが可能となる脆弱性が明らかとなったことから、セキュリティアドバイザリをリリースしたもの。

問題の脆弱性は、HTTP経由のNTLM認証においてなりすましが可能となり、管理者権限を取得することが可能となるもの。オンプレミス環境に存在し、「Microsoft Exchange Online」は影響を受けないとしている。

同製品へ高い権限を与えている場合、「Exchange Server」と「Windows」のドメインコントローラにアクセスできるユーザーを侵害することで、ドメイン管理者権限を奪われるリスクについても指摘されている。

(Security NEXT - 2019/02/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

事業者やネット利用者向けのフィッシングGLを改定 - フィ対協
メール誤送信で大阪府港湾協会会員のメアド流出 - 大阪府
4月のDDoS攻撃、前月比約1.5倍に - IIJレポート
フィッシングURL件数、5月も4000件台と高水準 - 報告件数は1.4万件超に
事務用品通販サイトの顧客情報流出 - クレカ流出件数を修正
一部ネットワーク機器に「DDoS攻撃」や「アクセス制御回避」の脆弱性
原子力規制庁でメール誤送信 - 在宅勤務職員の個人メアド誤り第三者へ
契約社員の個人情報が委託先で所在不明 - 電通
端末状況を可視化する「コンプライアンス調査サービス」
高校で生徒と保護者の個人情報含む書類を誤配布 - 大阪市