既に悪用されており、「今すぐ対処すべき」緊急事態だと専門家は述べています。
Microsoft Exchange Serverの新たに発見されたゼロデイ脆弱性により、専門家が緊急事態を宣言し、最高セキュリティ責任者(CSO)にオンプレミスのメール・ソリューションの廃止を検討するよう促しています。
「既に悪用されているため、これは『来週パッチを当てる』という状況ではなく、『今すぐ対処する』緊急事態です」とRob EnderleはEnderle Groupの警告で述べています。
「これはメールについて信頼できるクラウドプロバイダーを探すためのもう1つのリマインダーです」とSANS InstituteのリサーチディレクターJohannes Ullrichが付け加えました。「オンプレミスのExchangeはレガシー製品になりつつあり、一部の組織は内部および送信メールに必要である場合もありますが、外部メールへの露出を減らすことで、その攻撃面を最小化すべきです」。
Ullrichはこの週のMicrosoftからのアラートについてコメントしていました。これはExchange Outlook Web Access(OWA)に影響を与えるクロスサイトスクリプティング脆弱性についてのものであり、ユーザーに特別に細工されたメールを送信するだけで悪用される可能性があります。ユーザーがOutlook Web Accessでメッセージを開き、特定の相互作用条件が満たされた場合、ブラウザコンテキストで任意のJavaScriptを実行できます。
Outlook Web Accessのようなウェブメールシステムでのクロスサイトスクリプティング問題を回避することは難しい、とUllrichは認めました。ウェブメールシステムは、ユーザーから受け取ったHTMLメールをアプリケーションのHTML内に含める必要があり、2つを混同しないようにする必要があります。サンドボックス化されたiFrameなどの手法は役に立つ場合がありますが、注意深く適用する必要があります。
同時に、ウェブメール内のクロスサイトスクリプティング欠陥は通常、メールの内容を読むために使用でき、場合によっては電子メールを送信するためにも使用できる、と彼は述べました。
「幸運なことに」と彼は付け加えました、「多くの組織がオンプレミスのExchangeおよびOutlook Web Accessから移行しています」。
「これは悪いことだと推測しています」とDeepCove CybersecurityのCTOであるKellman Meghuが述べました。「しかし、一般的にオンサイトのExchange Serverを実行することも同様に悪いことです」。
脆弱性(CVE-2026-42897)の影響を受けるのは、Exchange Server 2016、2019、およびServer Subscription Edition(SE)であり、更新レベルに関係なく影響を受けます。
クラウドサービスであるExchange Onlineは影響を受けません。
対策
Microsoftはセキュリティパッチに取り組んでいます。その間、Exchange管理者は、サーバーでExchange EM Serviceが有効化されている場合(有効化すべき;2021年9月のリリース以来、デフォルトで有効化されています)、Microsoftのこの脆弱性に対する自動軽減策がすでに影響を受けるExchangeのバージョンに対して公開されていることを知っておく必要があります。
何らかの理由でEM Serviceが無効化されている場合、それはすぐに有効化されるべきです。ただし、サーバーが2023年3月より前のExchange Serverバージョンを実行している場合、EM Serviceは新しい軽減策をチェックできないことに注意してください。
例えば、切断されているか、エアギャップ環境を持っているため、EM Serverを使用できない人は、Exchange オンプレミスの軽減ツール(EOMT)の最新バージョンをダウンロードし、サーバーごとの基準で軽減策を適用するか、昇格されたExchange Management Shellを介してスクリプトを実行することで、すべてのサーバーに一度に軽減策を適用すべきです。
軽減策の既知の問題
ただし、管理者は軽減策がEM Serviceを通じて手動または自動で適用されると、既知の問題があることに注意すべきです。
OWAのカレンダー印刷機能が機能しない場合があります。回避策として、印刷したいカレンダーのデータをコピーするか、スクリーンショットを取るか、Outlook Desktopクライアントを使用してください。
インライン画像は受信者のOWA読み取りペインに正しく表示されない場合があります。回避策として、画像をメール添付ファイルとして送信するか、Outlook Desktopクライアントを使用してください。
OWA light(OWA URLが/?layout=lightで終わる)は正常に機能しません。この機能は数年前に廃止され、定期的な本番運用での使用は意図されていないことに注意してください。
管理者は軽減策の詳細に「このExchangeバージョンに対して軽減策は無効です」というメッセージが表示される場合があります。この問題は見た目上のものであり、ステータスが「適用済み」として表示されている場合、軽減策は正常に適用されています。Microsoftはこのエラーに対処する方法を調査しています。
今後のアップデート
Microsoftのスポークスパーソンにセキュリティアップデートがいつリリースされるかを尋ねられました。会社の声明を参照するように指示されました。
警告の中で、Microsoftは影響を受けるExchange Serverのバージョンのセキュリティアップデートが「今後」提供されると述べています。それらはExchange SE RTM、Exchange 2016 CU23、およびExchange Server 2019 CU14およびCU15用になります。古いCUバージョンを実行している人は、今すぐ更新するよう促されています。
Exchange SEアップデートは公開されているセキュリティアップデートとしてリリースされます。Exchange 2016および2019のアップデートは、Period 2 Exchange Server ESUプログラムに登録されている顧客にのみリリースされます。Period 1のみのESU顧客は、そのプログラムが先月終了したため、このアップデートを受け取りません。
Enderleは、Microsoftがカレンダー印刷やインライン画像などの機能を破壊する暫定的な修正を発行したという事実は、「出血を止めようとしている彼らの必死さの明確な兆候」だと述べました。
「CSO(最高セキュリティ責任者)は『様子見』というアプローチから脱却し、これをセキュリティオートメーションのリトマス試験として扱う必要があります」と彼は述べました。「チームがExchange Emergency Mitigation(EM)Serviceを有効にしている場合、既に保護されているはずですが、『軽減策M2』が実際にインベントリ全体で有効になっていることを確認する必要があります。エアギャップで実行されているか、EMサービスが無効になっている場合、EOMMTスクリプトを手動で実行するまで、みなさんが標的です」。
これはRedmond(Microsoft)からのもう1つの「強力なプッシュ」であり、オンプレミスのメールから移行することです。」とEnderleは付け加えました。「オンサイトのExchangeから出ていくことをまだ計画していない場合、これらのゼロデイが新しい標準となるにつれて、リスクプロファイルは上がり続けるだけです。これはAzureおよびウェブサービス一般が、業界、特にMicrosoftがITを進めたい場所であることを示しています。彼らが望むかどうかに関係なく」。
