3分読了
出典:Piotr Swat via Alamy Stock Photo
マイクロソフトは木曜日、積極的に悪用されているExchangeのゼロデイ脆弱性を公開しましたが、4日後の現在、ユーザーはまだパッチを待っています。
CVE-2026-42897として追跡されているゼロデイは、Exchange Outlook Web Access(OWA)に影響し、未承認の攻撃者がネットワーク上でなりすまし攻撃を実行することを可能にします。マイクロソフトによると、このゼロデイはクロスサイトスクリプティング(XSS)の欠陥に起因するもので、これはセキュリティ研究者が発見する最も一般的なソフトウェア脆弱性の1つであり、Open Web Application Security Project(OWASP)のTop 10リストに頻繁に登場しています。
「攻撃者は、特別に細工されたメールをユーザーに送信することでこの問題を悪用する可能性があります」とマイクロソフトはアドバイザリーで述べています。「ユーザーがOutlook Web Accessでメールを開き、特定の相互作用条件が満たされた場合、任意のJavaScriptがブラウザコンテキストで実行される可能性があります。」
CVE-2026-42897は、先週の大規模なパッチチューズデイのリリース(皮肉にもゼロデイを含まなかった)の2日後に開示されました。Cybersecurity and Infrastructure Security Agency(CISA)は、この欠陥を金曜日に既知の悪用される脆弱性(KEV)カタログに追加しました。
OWAユーザーへのサイバーリスク
CVE-2026-42897は、Exchange Server 2016、Exchange Server 2019、およびExchange Server Subscription Edition(SE)のオンプレミスバージョンに影響します。マイクロソフトはこのゼロデイにCVSSスコア8.1を割り当てましたが、NISTの全国脆弱性データベースは中程度の深刻度6.1スコアを割り当てました。
マイクロソフトは攻撃の潜在的な範囲についての詳細を提供していませんが、月曜日に発表されたアドバイザリーで、ベルギーサイバーセキュリティセンター(CCB)は、悪用が成功した場合、脅威行為者が被害者のOutlookメールボックスとセッショントークンへのアクセスを取得し、メールボックスの設定やメールコンテンツの変更を不正に行うことが可能になる可能性があると警告しました。
CVE-2026-42897はマイクロソフトExchange Serverの脆弱性ですが、リスクはOWAユーザーのメールボックスに対するものです。LinkedInの投稿で、ペネトレーションテスト企業Fortbridgeの創設者であるBogdan Tironは、影響は「サーバーの侵害ではない。メールボックスの侵害である。メールを読む、被害者としてメールを送信する、セッショントークンを盗む、パスワードリセットに耐える転送ルールを設定する」と強調しました。彼は、そのようなメールボックスの侵害がビジネスメール侵害(BEC)またはランサムウェア攻撃につながる可能性があると警告しました。
Tironはまた、XSSが「2026年でも企業メールを支配している」と指摘し、このような欠陥がサイバーセキュリティ業界では「初級の」脅威と見なされるかもしれませんが、攻撃者は被害者のネットワークへの信頼できる初期アクセスのためにそれらを引き続き悪用していると付け加えました。「退屈な脆弱性こそが機能し続ける脆弱性である」と彼は警告しました。
Microsoft Exchangeゼロデイの緩和
ブログ投稿で、マイクロソフトはユーザーがパッチの到着を待つ間に適用できる2つの緩和オプションを提供しました。最初のオプション(マイクロソフトが推奨)は、Exchange Emergency Mitigation(EM)Serviceを持つ組織向けで、Exchange Server 2016、2019、およびSEsインスタンスの緩和を自動的に有効にします。
マイクロソフトは、Exchange EMサービスが2021年にリリースされ、デフォルトで有効になっていることを指摘しました。「EMサービスを使用することは、組織がこの脆弱性をすぐに緩和する最良の方法です。EMサービスが現在無効な場合は、すぐに有効にすることをお勧めします」とソフトウェア大手は述べています。
EMサービスが現在有効になっているExchangeユーザーの割合は不明です。Dark Readingはマイクロソフトにコメントを求めて連絡しましたが、同社のスポークスパーソンは以下の声明を提供し、さらに詳しく述べることはありませんでした:「CVE-2026-42897を発行し、Exchange Outlook Web Access(OWA)に影響を与えるなりすまし脆弱性に対処しました。ユーザーがEEMSを有効にしてより適切に保護され、ここで利用可能なガイダンスに従うことをお勧めします。」
2番目の緩和オプションは、更新されたExchange On-premises Mitigation Tool(EOMT)で、マイクロソフトはユーザーがサーバーごとにダウンロードして適用するか、昇格されたExchange Management Shell(EMS)を通じてスクリプトを実行することを推奨しています。
マイクロソフトは緩和によって引き起こされた複数の問題を開示しました。これには、OWA Print CalendarおよびOWA Light機能への中断が含まれます。マイクロソフトは、バグのセキュリティアップデートに現在取り組んでおり、影響を受けたExchangeバージョンに「将来」展開すると述べましたが、スケジュールは提供されていません。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/microsoft-exchange-zero-day-no-patch
