ラスベガス — 連邦のサイバー当局は水曜日の夕方、研究者がBlack Hatでこの欠陥の調査結果を発表した直後、オンプレミスのMicrosoft Exchangeサーバーに影響を与える重大な脆弱性について警告を発しました。
Microsoftもこの脆弱性(アドバイザリ)— CVE-2025-53786 —について発表し、現時点では実際の悪用は確認されていないと述べています。
この欠陥に関する公表とアドバイザリは、最大規模のサイバーセキュリティカンファレンスのひとつの最中、遅い時間に発表されましたが、Microsoft Security Response Centerのエンジニアリング担当副社長であるトム・ギャラガー氏はCyberScoopに対し、このタイミングはMollema氏の発表後に合わせて調整されたものだと語りました。
ギャラガー氏は、悪用には攻撃者がハイブリッド環境のオンプレミスExchangeサーバーへの管理者権限を取得する必要があることを強調しました。
Microsoftはアドバイザリの中で、攻撃者が組織の接続されたクラウド環境で権限を昇格できる可能性があると述べています。これは、オンプレミス版とクラウド版のExchangeがハイブリッド構成で同じ権限を共有しているためです。この脆弱性はMicrosoftのID・アクセス管理サービスであるEntra IDにも影響し、攻撃者が侵害されたオンプレミスExchangeサーバーから接続されたクラウドベースのサーバーへ移動する経路を与える可能性があります。
サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)のクリス・ブテラ代理執行補佐ディレクターは声明で、当局がこの脆弱性の範囲と影響を積極的に監視・評価していると述べました。
Microsoftは、Exchange Serverハイブリッド展開のセキュリティ向上のために4月に変更を導入した際、すでにこの脆弱性に対処したと述べています。同社とCISAは、組織に対しオンプレミスのExchangeサーバーにMicrosoftの2025年4月のExchange Serverホットフィックスアップデートを適用し、構成変更を実施し、共有サービスプリンシパルから証明書を削除するよう促しています。
Microsoftは今月後半から、共有サービスプリンシパルを使用したExchange Web Servicesトラフィックを一時的にブロックすると発表しました。このブロックは10月末までに恒久的なものになる予定です。
この措置は、Microsoftが専用のExchangeハイブリッドアプリの導入を加速し、最終的には顧客に強制する戦略の一環です。「専用ハイブリッドアプリをサポートするサーバーバージョンの導入は順調ですが、専用アプリを作成した顧客の数は非常に少ない」とMicrosoftはブログ記事で述べています。
CISAはまた、インターネットに公開されている、またはサポートが終了したExchange ServerおよびSharePoint Serverの切断も組織に推奨しています。
この脆弱性の協調開示は、業界全体のセキュリティ研究者がオンプレミスのMicrosoft SharePointサーバーに影響を与える重大なゼロデイ脆弱性に関連した大規模な攻撃について警鐘を鳴らしてから3週間も経たないうちに行われました。これらの攻撃によって、400以上の組織が影響を受けており、エネルギー省、国土安全保障省、保健福祉省など複数の政府機関も含まれています。
翻訳元: https://cyberscoop.com/cisa-microsoft-exchange-vulnerability/