木曜日、Microsoftは攻撃で悪用されているExchange Serverの高度な重大度の脆弱性に対する対策を共有しました。この脆弱性により、脅威アクターはOwa上のユーザーをターゲットにしながら、クロスサイトスクリプティング(XSS)を介して任意のコードを実行できます。
Microsoftはこのセキュリティ欠陥(CVE-2026-42897)を、最新のExchange Server 2016、Exchange Server 2019、およびExchange Server Subscription Edition(SE)ソフトウェアに影響する成りすまし脆弱性として説明しています。
脆弱性を永続的に修正するためのパッチはまだ利用できませんが、同社は、Exchange Emergency Mitigation Service(EEMS)がExchange Server 2016、2019、およびSEオンプレミスサーバーに自動的な対策を提供すると付け加えました。
広告主のウェブサイトにアクセスページへ移動
「攻撃者は特別に細工されたメールをユーザーに送信することでこの問題を悪用する可能性があります。ユーザーがOutlook Web Accessでメールを開き、特定の相互作用条件が満たされた場合、任意のJavaScriptがブラウザーコンテキストで実行できます。」とExchange Teamが述べました。
「EM Serviceを使用することが、組織がこの脆弱性をすぐに軽減するための最良の方法です。EM Serviceが現在無効になっている場合は、すぐに有効にすることをお勧めします。サーバーが2023年3月より前のExchange Serverバージョンを実行している場合、EM Serviceは新しい軽減策をチェックできないことにご注意ください。」
EEMSは2021年9月に導入されました。オンプレミスExchangeサーバーに自動保護を提供し、高リスク(およびおそらく積極的に悪用されている)脆弱性に対する暫定的な対策を適用することで、継続的な攻撃から保護するためです。
EEMSはExchange MailboxサーバーでWindowsサービスとして実行され、Mailboxロールを持つサーバーで自動的に有効になります。セキュリティ機能は、多くのハッキンググループがProxyLogonとProxyShellのゼロデイ(パッチまたは軽減情報がなかった)を悪用してインターネットに公開されているExchangeサーバーを侵害した後に追加されました。
エアギャップ環境にサーバーを持つ管理者は、最新のExchange on-premises Mitigation Tool(EOMT)バージョンをダウンロードし、昇格されたExchange Management Shell(EMS)経由で以下のいずれかのコマンドを使用してスクリプトを実行することにより、脆弱性を軽減することもできます:
- 単一サーバー:
.\EOMT.ps1 -CVE "CVE-2026-42897" -
すべてのサーバー:
Get-ExchangeServer | Where-Object { $_.ServerRole -ne "Edge" } | .\EOMT.ps1 -CVE "CVE-2026-42897"
Microsoftは、Exchange SE RTM、Exchange 2016 CU23、およびExchange Server 2019 CU14およびCU15のパッチをリリースする予定ですが、Exchange 2016および2019の更新は、Period 2 Exchange Server ESUプログラムに登録されている顧客のみが利用できると述べています。
10月、Exchange 2016および2019がサポート終了に達した数週間後、サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)と国家安全保障局(NSA)は、IT管理者がMicrosoft Exchangeサーバーを攻撃から強化するのに役立つガイダンスをリリースしました。
検証ギャップ:自動化ペネトレーションテストは1つの質問に答えます。あなたには6つが必要です。
自動化ペネトレーションテストツールは実際の価値を提供しますが、1つの質問に答えるために構築されました。攻撃者はネットワークを通じて移動できるか?コントロールが脅威をブロックするかどうか、検出ルールが機能するかどうか、またはクラウド設定が保持されるかどうかをテストするために構築されていません。
このガイドは、実際に検証する必要がある6つの表面をカバーしています。
