マイクロソフトは、Outlookユーザーに特別に細工されたメールを送信することで、攻撃者が被害者に任意のコードを送信する可能性がある高度な深刻度のゼロデイ脆弱性について警告しています。
CVE-2026-42897として追跡されているこの欠陥は、Microsoft Exchange Serverにおけるウェブページ生成時の入力の不適切な中立化(クロスサイトスクリプティング(XSS)とも呼ばれます)に起因しており、不正な攻撃者がネットワークを通じてなりすまし行為を実行できるようにしています。
テック企業が5月14日に公開したこの高度な深刻度の脆弱性(CVSSスコア8.1)は、一部のオンプレミスExchange Serverバージョンに影響を与えています:
- 既存のすべてのExchange Server 2016バージョン
- 既存のすべてのExchange Server 2019バージョン
- 既存のすべてのExchange Server Subscription Edition(SE)バージョン
Exchange Onlineには影響を与えません。
パッチ開発中に利用可能な一時的な修正
マイクロソフトはまだこの脆弱性のパッチをリリースしていません。
ただし、5月14日に公開されたセキュリティアドバイザリにおいて、Exchangeチームは、パッチが利用可能になる前にセキュリティチームがこの脆弱性の潜在的な悪用の影響を軽減するために実行できる2つのアプローチを共有しました。
マイクロソフトが推奨する最初のオプションは、Exchange Emergency Mitigation(EM)サービスを使用しています。
EM Serviceがデフォルトで有効になっている場合、軽減策はすでに自動的に適用されています。
管理者は以下の方法でこれを確認できます:
- ドキュメントを通じてCVE-2026-42897(M2.1.x)の適用された軽減策を確認する
- Exchange Health Checkerスクリプトを実行してEM Serviceのステータスと適用された軽減策を迅速に確認する
- マイクロソフトが強く推奨しているように、EM Serviceが現在無効になっている場合は有効にする
2023年3月より前のバージョンを実行しているサーバーは、このサービスを通じて新しい軽減策を受け取ることができないことに注意してください。
2番目の軽減オプションは、切断またはエアギャップされた環境など、EM Serviceを使用できない環境を対象としています。
管理者は以下の方法で軽減策を手動で適用できます:
- Exchange On-premises Mitigation Tool(EOMT)の最新バージョンをダウンロードする
- 提供されたPowerShellスクリプトを昇格されたExchange Management Shellから実行し、CVE-2026-42897識別子を使用して単一のサーバーまたはすべてのサーバーをターゲットにする
マイクロソフトは、両方の軽減措置が機能を無効化または中断する可能性があることを認めています(例:OWA Print Calendar、インライン画像)。
同社は影響を受けたExchangeサーバーのセキュリティパッチに取り組んでいます。
Exchange SE更新は公開されているセキュリティ更新としてリリースされ、Exchange 2016および2019の更新はPeriod 2 Exchange Server ESUプログラムに登録されている顧客のみにリリースされます。
翻訳元: https://www.infosecurity-magazine.com/news/microsoft-zeroday-exchange-servers/
