Microsoftは木曜日、Exchange Serverの脆弱性と、攻撃で悪用された高レベルのハードウェアを共有した。この脆弱性により、攻撃者はWeb上のOutlookユーザーを標的にしながらクロスサイトスクリプティング(XSS)経由で任意のコードを実行できるようになる。
Microsoft は、このセキュリティ上の欠陥 (CVE-2026-42897) を、最新の Exchange Server 2016、Exchange Server 2019、および Exchange Server Subscription Edition (SE) ソフトウェアに影響を与えるスプーフィングの脆弱性として説明しています。
この脆弱性を恒久的に修正するためのパッチはまだ提供されていないが、同社は、Exchange Emergency Mitigation Service (EEMS) がオンプレミスの Exchange Server 2016、2019、および SE サーバーに対して自動軽減策を提供すると付け加えました。
「攻撃者は特別に細工した電子メールをユーザーに送信することで、この問題を悪用する可能性がある。ユーザーがOutlook Web Accessで電子メールを開き、特定の対話条件が満たされると、ブラウザのコンテキストで任意のJavaScriptが実行される可能性がある」とExchangeチームは述べている。
「組織がこの脆弱性を直ちに軽減するには、EM サービスを使用することが最善の方法です。EM サービスが現在無効になっている場合は、すぐに有効にすることをお勧めします。サーバーで 2023 年 3 月より古いバージョンの Exchange Server が実行されている場合、EM サービスは新しい脆弱性をチェックできないことに注意してください。」
EEMS は、オンプレミスの Exchange サーバーに自動保護を提供するために 2021 年 9 月に導入され、高リスクの (そして積極的に悪用される可能性が高い) 脆弱性に対するバッファーを実装することで継続的な攻撃からサーバーを保護します。
EEMS は、Exchange メールボックス サーバー上で Windows サービスとして実行され、メールボックスの役割を持つサーバー上で自動的に開始されます。このセキュリティ機能は、多くのハッキング グループが ProxyLogon および ProxyShell のゼロデイ (パッチや緩和情報が不足していました) を悪用して、インターネットに公開された Exchange サーバーをハッキングした後に追加されました。
エアギャップ環境にサーバーを配置している管理者は、Exchange オンプレミス軽減ツール (EOMT) の最新バージョンをダウンロードし、次のコマンドのいずれかで強化された Exchange 管理シェル (EMS) を使用してスクリプトを実行することで軽減策を適用することによって、この問題を軽減することもできます。
Microsoftは、Exchange SE RTM、Exchange 2016 CU23、Exchange Server 2019 CU14およびCU15の修正プログラムをリリースする予定だが、Exchange 2016および2019の更新プログラムは、Period 2 Exchange Server ESUプログラムに登録している顧客のみが利用できるとしている。
Exchange 2016 と 2019 のサポート終了から数週間後の 10 月、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 (CISA) と国家安全保障局 (NSA) は、IT 管理者が Microsoft Exchange サーバーを攻撃に対して強化するのに役立つガイダンスをリリースしました。
自動テスト ツールは実際の価値を提供しますが、「攻撃者はネットワークを通過できるか?」という 1 つの質問に答えるために構築されています。これらは、コントロールが脅威をブロックしていること、検出ルールが機能していること、またはクラウド構成が適切であることを確認するために構築されたものではありません。
このガイドでは、実際に検証する必要がある 6 つの表面について説明します。
今すぐダウンロード
