CVE-2018-0908

Описание

Уязвимость повышения уровня доступа обнаружена в Microsoft Identity Manager 2016 SP1 Service и Portal. Проблема связана с тем, что специальным образом сформированные значения атрибутов не проходят должную фильтрацию, когда отображаются пользователю на уязвимом сервере MIM 2016. Злоумышленник способен воспользоваться этой уязвимостью, отправив специальный запрос к уязвимой установке MIM 2016.

Эксплуатация уязвимости позволяет злоумышленнику проводить XSS-атаки на уязвимых системах и запускать скрипты в контексте безопасности текущего пользователя. Из-за этого злоумышленник способен получить доступ к содержимому, на которое у него нет прав доступа, использовать личность жертвы для выполнения действий на сайте MIM Portal от имени пользователя, например, изменять разрешения, удалять содержимое, а также внедрять вредоносное содержимое в браузер пользователя.

Условия эксплуатации

Для успешной эксплуатации злоумышленник должен отправить специальным образом сформированный запрос к уязвимой установке MIM 2016.

Решение

Обновление безопасности устраняет уязвимость, обеспечивая корректную фильтрацию отображаемых атрибутов на сервере MIM 2016.