Threatpost - The First Stop For Security News |
Threatpostに掲載された記事「DETAILS ON PATCHED MICROSOFT OFFICE 365 XSS VULNERABILITY DISCLOSED」が、Microsoft Office 365に存在していたクロスサイトスクリプティング脆弱性の詳細を伝えた。同セキュリティ脆弱性は2013年の10月に同社へ報告され同年11月には修正された旨が発表されており、現在ではすでに解決済みとされている。使われた手法は基本的なものでしかないが、セキュリティ意識を高める事例として参考になる。
発見されたクロスサイトスクリプティングのセキュリティ脆弱性を利用されると、Office 365にメールアカウントを持っているユーザであれば管理者権限を取得してほかのユーザのメールやSharePoint上のデータにアクセスできる状態になっていたという。この脆弱性の利用には高さと幅を0ピクセルに設定したiframeを利用するだけでよく、かなり簡単に利用できる状態になっていたことが説明されている。
「DETAILS ON PATCHED MICROSOFT OFFICE 365 XSS VULNERABILITY DISCLOSED」が伝えている内容で注意を引かれるのは、これが特別な手法ではなくよく知られたクロスサイトスクリプティングの手法を使っただけであること、管理者そのものはセキュリティ脆弱性を利用されたとしても気がつきにくいことなどにある。一見問題なく動作しているように見えるシステムでもきちんと管理することの重要性を感じることができるほか、セキュリティ脆弱性が存在する場合でも安全に運用できるようにしておく必要性なども喚起される内容といえる。