Microsoft Exchange Serverのユーザーは、攻撃で悪用されている新たに開示されたゼロデイ脆弱性を直ちに軽減するよう警告されています。
Microsoftは今週137の脆弱性をパッチチューズデーの更新で修正しましたが、サイバーセキュリティ業界は最新の更新がゼロデイに対処していないことに驚きました。しかし、ゼロデイは48時間後の5月14日に開示されました。
Exchange Zero-DayはCVE-2026-42897として追跡されており、Exchange Server Subscription Edition、2016、2019に影響するなりすまし問題およびXSS問題として説明されています。
「Microsoft Exchange Serverにおける「クロスサイトスクリプティング」(‘cross-site scripting’)の入力の不正な無効化により、許可されていない攻撃者がネットワーク上でなりすましを実行することができます」とMicrosoftはそのアドバイザリで述べました。
同社は、この脆弱性がExchange Outlook Web Access(OWA)に影響を与え、攻撃者は特別に細工されたメールをターゲットユーザーに送信することでこれを悪用できることを指摘しました。
「ユーザーがOutlook Web AccessでメールをOpenし、特定の相互作用条件が満たされている場合、任意のJavaScriptがブラウザコンテキストで実行される可能性があります」とMicrosoftは説明しました。
永続的なパッチが開発されるまで、Microsoftはいくつかの軽減オプションを共有しています。
Microsoftはこれまで、CVE-2026-42897を悪用する攻撃に関する情報を共有していません。SecurityWeekは詳細についてMicrosoftに連絡しており、対応があれば記事を更新します。
同社は、この脆弱性の報告についてアノニマスな研究者にクレジットを与えています。
脅威アクターがExchange Serverの脆弱性をターゲットにすることは珍しくありません — CISAのKEVカタログには現在ほぼ20個ほどの同様の欠陥が掲載されていますが — 2025年と2026年に発見された脆弱性が野生で悪用されているという報告は見当たらないようです。
CVE-2026-42897はまだCISAのKEVリストに追加されていないことは注目する価値があります。
翻訳元: https://www.securityweek.com/microsoft-warns-of-exchange-server-zero-day-exploited-in-the-wild/
