Exchange Serverに2件のゼロデイ脆弱性
2022年10月4日 14:43
headless 曰く、 Microsoft が Exchange Server 2013 / 2016 / 2019 に影響する 2 件のゼロデイ脆弱性を公表し、緩和策を紹介している(Microsoft Security Response Center の記事、Neowin の記事、Ars Technica の記事、HackRead の記事)。
2 件の脆弱性は特権昇格の脆弱性 (SSRF 脆弱性) CVE-2022-41040 と、PowerShell を利用したリモートコード実行 (RCE) の脆弱性 CVE-2022-41082 だ。認証された攻撃者は CVE-2022-41040 を悪用することで、リモートから CVE-2022-41082 を引き起こすことができる。
攻撃者は脆弱性のある Exchange Server で認証される必要があるため影響範囲は限定的だが、実際に攻撃が確認されているという。Exchange Online のユーザーは影響を受けない。
Microsoft では脆弱性の修正を緊急に進めているが、現時点で提供時期は未定のようだ。そのため、IIS Manager の URL 書き換えルールで既知の攻撃パターンをブロック対象に指定するという緩和策を紹介しており、この緩和策を適用する PowerShell スクリプトも提供している。また、Microsoft Exchange Emergency Mitigation Serviceを有効にしている顧客の Exchange Server 2016 / 2019 環境では、緩和策が自動で有効になるとのことだ。