マイクロソフト セキュリティ情報 MS04-002

技術的な説明 :

Outlook Web Access (OWA) を実行するとき、Windows 2000 および Windows Server 2003 上で OWA アクセスを提供するフロントエンドの Exchange 2003 サーバーと Windows Server 2003 で実行されている バックエンドの Exchange 2003 サーバー間で NTLM 認証が使用されている場合に、Hypertext Transfer Protocol (HTTP) 接続が再使用される方法に脆弱性が存在します。

(1) 他のメールボックスが同じバックエンド サーバーにホストされている場合、また、(2) メールボックスが所有者によって最後にアクセスされた場合、Outlook Web Access (OWA) と Exchange Server 2003 フロントエンド サーバーを介してメールボックスにアクセスしているユーザーが別のユーザーのメールボックスに接続できる可能性があります。この脆弱性の悪用を試行する攻撃者にとって、どのメールボックスに接続できるかを予測することはできません。この脆弱性により、メールボックスへのランダムで信頼性のないアクセスが起こります。また、この脆弱性は、最後にOWA を介しアクセスされたメールボックスに限定されます。

既定では、Kerberos 認証が Exchange Server 2003 フロントエンドとバックエンド Exchange サーバー間の HTTP 認証方法として使用されます。この動作は OWA が Exchange フロントエンド/バックエンド構成で使用され、フロントエンドとバックエンド Exchange サーバー間の OWA コミュニケーションの認証方法として Kerberos 認証が使用されていない環境でのみ発生します。既定で、Kerberos 認証は OWA for Exchange Server 2003 がバックエンド Exchange サーバーに認証を行なう時に使用されます。

Exchange バックエンド サーバーで Exchange Server 2003 プログラムを実行している Web サイトが Kerberos 認証とネゴシエートしないように構成され、OWA が NTLM 認証を使用することになる場合、この脆弱性が起こります。この脆弱性が悪用される唯一の既知の方法は、Exchange バックエンド サーバーの Internet Information Services 6.0 の既定の構成の変更によるものであり、Kerberos 認証の問題による NTLM へのルーチンの後退によるものではありません。この構成の変更は、Exchange Server 2003 バックエンドとして機能している Windows Server 2003 サーバーに Microsoft Windows SharePoint Services (WSS) 2.0 がインストールされている場合に起こります。

問題を緩和する要素 :

• この脆弱性を悪用するには、まず Exchange Server 2003 フロントエンド サーバーで認証を行なうことが攻撃者にとっての必要条件となります。
• 攻撃者がアクセスを取得する可能性のあるメールボックスはランダムであり、予測することはできません。また、攻撃者が別のユーザーのメールボックスに接続できるかも定かではありません。
• フロントエンドとバックエンド サーバーの組み合わせが同じである Outlook Web Access を介し、最近アクセスされたメールボックスのみが、この脆弱性の影響を受ける可能性があります。
• Exchange 2000 Server および Exchange Server 5.5 はこの脆弱性の影響を受けません。
• Outlook Web Access for Exchange 2003 Server をホストしており、Windows 2000 または Windows Server 2003 で実行されているフロントエンド サーバー、Windows Server 2003 で実行されているバックエンド Exchange Server 2003 による展開のみがこの脆弱性の影響を受けます。
• 既定で、Kerberos 認証は Exchange Server 2003 フロントエンド サーバーおよび Exchange バックエンド サーバー間の HTTP リクエストのために使用されます。Exchange バックエンド サーバーで Exchange Server 2003 プログラムを実行している Web サイトが Kerberos 認証とネゴシエートしないように構成されており、このため、OWA が NTLM 認証を使用することになる状況でのみ、この脆弱性が起こります。この構成の変更は、Exchange Server 2003 バックエンドとしても機能している Windows Server 2003 サーバーに Microsoft Windows SharePoint Services 2.0 がインストールされている場合に起こります。

深刻度 :

上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。

脆弱性識別番号 :

CAN-2003-0904

マイクロソフトはこの脆弱性に対応するための次の回避策のテストを行ないました。これらの回避策は根本的な脆弱性を修正しませんが、既知の攻撃の方法を阻止する手助けとなります。回避策は機能の低下の原因となる場合もありますが、その場合には下に記します。

• Exchange Server 2003 フロントエンドサーバーでの HTTP 接続の再使用を無効にする

  既定で Exchange Server 2003 は、パフォーマンス向上のため、フロントエンドおよびバックエンド サーバー間の HTTP 接続を再使用します。接続の再使用は Exchange フロントエンドサーバーでオフにすることができますが、オフにすることにより、パフォーマンス低下の原因となる可能性もあります。しかし、これはこの脆弱性に対し、効果的な回避策です。Exchange Server 2003 フロントエンドに、この更新プログラムを適用した後に、この回避策を削除することもできます。

  HTTP 接続の再使用を Microsoft Exchange Server 2003 フロントエンド サーバーで無効にする方法に関する情報は、マイクロソフト サポート技術情報 832749 をご覧下さい。

  回避策の影響 : クライアントが Outlook Web Access を使用してメールボックスにアクセスする時に、若干のパフォーマンスの低下が発生する場合があります。

• Exchange Server 2003 バックエンドサーバーで OWA をホストしている仮想サーバーで Kerberos 認証を有効にする

  この脆弱性が悪用される唯一の既知の状況は、バックエンドサーバーで Outlook Web Access がホストされている Internet Information Services 仮想サーバーで Kerberos 認証が無効にされている場合のみです。Windows SharePoint Services (WSS) が同じ仮想サーバーにインストールされている場合、この構成の変更が発生します。

  Kerberos 認証を使用するように Windows SharePoint Services を構成する方法に関する情報は、マイクロソフトサポート技術情報 832769 をご覧下さい。

  Windows SharePoint Services をインストールした後、OWA およびその他の Exchange コンポーネントを再度有効にする方法に関する情報は、マイクロソフト サポート技術情報 823265 をご覧下さい。

  回避策の影響 : なし

どのようなことが起こる可能性がありますか?

Outlook Web Access (OWA) for Exchange Server 2003 を使用してメールボックスにアクセスしているユーザーが、別のユーザーのメールボックスに接続できる可能性があります。この脆弱性の悪用を試行する攻撃者にとって、どのメールボックスに接続できるか、また、別のユーザーのメールボックスに接続できるかどうかを予測することはできません。この脆弱性により、メールボックスへのランダムで信頼性のないアクセスが起こります。また、この脆弱性は、最近 OWA を介しアクセスされたメールボックスに限定されます。この動作は OWA が Exchange フロントエンド サーバーの構成で使用され、バックエンド Exchange サーバー上で OWA をホストしている IIS Web サイトの認証方法として Kerberos 認証が無効にされている環境でのみ発生します。既定で、Kerberos 認証は Exchange Server 2003 フロントエンドおよびバックエンド Exchange サーバー間で HTTP 認証方法として使用されています。

Exchange バックエンド サーバー上で Exchange Server 2003 プログラムを実行している Web サイトが Kerberos 認証を使用しないように構成され、OWA が NTLM 認証を使用している場合のみ、この脆弱性が起こります。この構成の変更は Exchange Server 2003 バックエンドとしても機能する Windows Server 2003 上に Microsoft Windows SharePoint Services 2.0 がインストールされている場合のみ発生します。

何が原因で起こりますか?

Exchange 2003 フロントエンド サーバーと Exchange 2003 バックエンドサーバー (バックエンド サーバーが Windows Server 2003 で実行されている場合) 間で NTLM 認証が使用されている場合、HTTP 接続が再使用されるためにこの脆弱性が起こります。

Exchange Server 2003 フロントエンド コンポーネントがバックエンド Exchange サーバーに認証を行なう際に、Kerberos 認証が有効であり、既定で使用されるよう設定されている場合でも、バックエンド サーバーで Kerberos 認証が明示的に無効にされている場合、NTML 認証のみが利用可能となります。

Outlook Web Access とは何ですか?

Outlook Web Access (OWA) とは Exchange Server の機能です。OWA を使用することにより、Exchange Server を実行しているサーバーは、認証されたユーザーに対し、Web ブラウザからインターネット経由で電子メール メッセージの読み取り、送信、カレンダーの管理、またそのほかのメール機能を実行させる Web サイトとして機能することができます。

OWA は Exchange フロントエンド/バックエンド サーバー構成で展開することができます。

フロントエンドおよびバックエンド Exchange サーバーとは何ですか?

Exchange は、エンド ユーザーのメール ボックスが複数のサーバーに存在する場合でも、エンド ユーザーが単一のフロントエンド Exchange サーバーに接続できるように展開 (英語情報) することができます。次に、このフロントエンドサーバーは、メールボックスが実際に存在する適切なバックエンド サーバーに接続 (「プロキシ」) します。

Kerberos および NTLM とは何ですか?

Kerberos および NTLM とは 2 つの異なる認証プロトコル (英語情報) です。Kerberos 認証は使用が望まれる Windows 認証プロトコルです。これは、Exchange Server 2003 で Outlook Web Access のフロントエンドおよびバックエンド Exchange サーバー間で使用される既定のプロトコルです。NTLM 認証は、Kerberos 認証が利用可能でない場合の代替認証方法として使用できます。

Outlook Web Access で Kerberos 認証が有効であるかどうかはどのように確認するのですか?

既定で、Kerberos 認証は OWA for Exchange Server 2003 で有効です。しかし、Internet Information Services (IIS) が OWA をホストしている Windows コンポーネントであるため、IIS サーバーの構成をチェックし、Kerberos 認証が有効であるかどうかをチェックする必要があります。IIS の認証設定を確認するためには、Exchange バックエンド サーバーの IIS メタベースを調べて下さい。これを行うためには、次のコマンドラインのコマンドを使用して下さい。

• cscript.exe %SystemDrive%\inetpub\adminscripts\adsutil.vbs get w3svc/NTAuthenticationProviders
  
  または
• cscript.exe %SystemDrive%\inetpub\adminscripts\adsutil.vbs get w3svc/1/root/NTAuthenticationProviders

戻り値が “NTLM” である場合のみ、この問題が発生する可能性があります。正しい応答は次のいずれかです。

• "The parameter 'NTAuthenticationProviders' is not set at this node."
  
  または
• "Negotiate, NTLM"

"negotiate" という用語は HTTP での Kerberos 認証を説明するために使用されます。

Kerberos 認証を使用するように Windows SharePoint Services を構成する方法に関する情報については、マイクロソフトサポート技術情報832769 をご覧下さい。

Exchange サーバーの既定のセキュリティ設定を変更していませんが、バックエンド Exchange サーバーで Exchange プログラムをホストしている Web サイトで Kerberos 認証が無効にされている場合はありますか?

はい、あります。Microsoft Internet Information Services (IIS) 仮想サーバーが Windows SharePoint Services で拡張されていると、仮想サーバーが統合 Windows 認証 (以前は NTLM または Windows NT チャレンジ/レスポンス認証と呼ばれていました) を使用するよう構成され、明示的に Kerberos 認証を無効にします。Windows SharePoint Services (WSS) が Windows Server 2003 上で実行されている Exchange Server 2003 バックエンド サーバー と同じサーバーにインストールされている場合、Kerberos 認証が Exchange プログラムをホストしている Web サイト上で無効にされている場合があります。

Kerberos 認証を使用するように Windows SharePoint Services を構成する方法については、マイクロソフトサポート技術情報 832769 をご覧下さい。

また、Windows SharePoint Services のインストール後に OWA およびそのほかの Exchange コンポーネントを再度有効にする方法については、サポート技術情報 823265 をご覧下さい。

どのような人物により、この脆弱性が悪用される可能性がありますか?

この脆弱性を悪用するには、攻撃者は同じバックエンド Exchange サーバーにメールボックスを所有する認証されたユーザーである必要があります。そして有効な資格情報を使用し OWA を介認証さし最初にれる必要があります。

攻撃者がアクセスを取得する可能性のあるメールボックスはランダムであり、予測することはできません。また、攻撃者が別のユーザーのメールボックスに接続できるかどうかを予測することもできません。

この脆弱性により、攻撃者は何ができる可能性がありますか?

同じ Exchange システムにホストされている別のユーザーのメールボックスへのアクセス権を取得した認証されたユーザーは、OWA を介し、正当なユーザーに可能な任意の操作を実行できる可能性があります。そのユーザーのメールボックスを使用し、電子メールメッセージの読み取り、送信、削除などが行なわれる可能性があります。

主にどのコンピュータがこの脆弱性による危険にさらされますか?

この危険にさらされるコンピュータは、Microsoft Exchange Server 2003 のフロントエンド/バックエンド構成 (英語情報) で、アクセスされている Outlook Web Access のコンピュータのみです。

バックエンド サーバーは Windows Server 2003 上で Exchange Server 2003 を実行している必要があります。一方、フロントエンド サーバーは Windows 2000 または Windows Server 2003 上で実行されている可能性があります。

フロントエンドおよびバックエンドサーバーの構成を使用していない場合でも、OWA は影響を受ける可能性はありますか?

いいえ、ありません。Exchange インフォメーションストアと同じサーバー上で OWA を実行している Exchange サーバーは影響を受けません。フロントエンド/バックエンド Exchange Server 2003 の構成のみがこの脆弱性の影響を受けます。

Small Business Server 2003 を実行している場合、この脆弱性の影響を受けますか?

いいえ、受けません。Small Business Server は既定で、一台のサーバーに OWA と OWA を介してアクセスするメールボックスをホストするサーバーをセットアップします。フロントエンド/バックエンド Exchange Server 2003 の構成のみがこの脆弱性の影響を受けます。

Exchange および Outlook Web Access のすべてのバージョンが影響を受けますか?

いいえ。この脆弱性の影響を受けるものは Outlook Web Access for Exchange Server 2003 のみです。

どの Exchange サーバーにこのセキュリティ更新プログラムをインストールする必要がありますか?

このセキュリティ更新プログラムは Outlook Web Access for Microsoft Exchange Server 2003 を実行しているフロントエンド サーバー向けです。

このセキュリティ更新プログラムを、バックエンド Exchange サーバーまたは OWA サービスを提供していないフロントエンド Exchange サーバーにインストールする必要はありません。しかし、後にバックエンド サーバーをフロントエンド サーバーのロールに移行する場合の保護を考慮して、このセキュリティ更新プログラムを Exchange Server 2003 を実行しているすべてのコンピュータにインストールすることを推奨します。

このセキュリティ更新プログラムは動作上の変更を導入しますか?

はい。この更新プログラムは、認証を行うために NTLM を使用する ＨＴＴＰ 接続がプールに追加されないように、接続プールを変更します。しかし、OWA のエンド ユーザーが気づくほどの動作上の変更はありません。

このセキュリティ更新プログラムは何を修正しますか?

このセキュリティ更新プログラムは、すべての認証メソッドがフロントエンドおよびバックエンド Exchange サーバー間の HTTP 接続を再使用する前に、正しく再認証を行なうようにし、また、NTLM 認証を使用して確立された接続が不適切に再使用されないようにして、この脆弱性を排除します。

対象プラットフォームおよび必要条件 :