Microsoftは、脅威アクターがOutlook Web Accessユーザーを標的としたクロスサイトスクリプティング(XSS)攻撃において任意のJavaScriptコードを実行できる、積極的に悪用されているExchange Serverの脆弱性にパッチを適用しました。
この深刻度の高いなりすまし脆弱性(CVE-2026-42897)は、Exchange Server 2016、Exchange Server 2019、およびExchange Server Subscription Edition(SE)に影響し、権限を持たないリモートの攻撃者によって悪用される可能性があります。
「攻撃者は、特別に細工した電子メールをユーザーに送信することでこの問題を悪用できます。ユーザーがそのメールをOutlook Web Accessで開き、特定のインタラクション条件が満たされると、ブラウザのコンテキストで任意のJavaScriptが実行される恐れがあります」と、Exchangeチームは5月中旬に説明しました。このとき、MicrosoftはExchange Emergency Mitigation Service(EEMS)を通じて自動的な一時緩和策の展開を開始しています。
BleepingComputerは、CVE-2026-42897を悪用した攻撃に関してMicrosoftに問い合わせていますが、現時点でまだ回答を受け取っていません。
昨日、Microsoftは影響を受けるExchange Serverのインストール環境における脆弱性に対処するためのセキュリティアップデートをリリースし、管理者に対して「できるだけ早く」適用するとともに、追加的な保護のために緩和策を継続して維持するよう呼びかけました。
「この脆弱性から保護されるために、お使いのExchange Serverのバージョン向けの2026年6月セキュリティアップデートをできるだけ早くインストールすることをMicrosoftは推奨します」と、元のセキュリティアドバイザリの更新版で述べられています。
「セキュリティ強化と環境全体の防御改善に向けた継続的な取り組みの一環として、クロスサイトスクリプティング攻撃に対する保護を引き続き強化しています。記載された緩和策をそのまま維持されることをお客様に推奨します。この緩和策は追加の防御層を提供し、さらなる改善がリリースされる際にも継続的な保護の確保に役立ちます。」
米サイバーセキュリティ・インフラセキュリティ庁(CISA)もこの脆弱性を5月15日に追加し、実際に悪用が確認されたセキュリティ上の欠陥リストに掲載するとともに、米国政府機関に対して2週間以内、5月29日までにサーバーへのパッチ適用を命じました。
過去5年間で、CISAはMicrosoft Exchange Serverの脆弱性を20件悪用済み脆弱性リストに追加しており、そのうち14件はランサムウェアグループによって悪用されています。
Exchange 2016および2019がサポート終了を迎えてから数週間後の10月には、CISAと国家安全保障局(NSA)も攻撃に対してExchangeサーバーを強化するためのガイダンスを公開しました。
攻撃者より先に、すべての層をテストする
セキュリティチームが記録できる攻撃成功は54%に留まり、アラートを発動できるのはわずか14%です。残りは検知されることなく環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)がSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けないようにする方法を解説しています。
