マイクロソフトが最新のパッチチューズデー更新プログラムを公開し、CVE-2026-42897として追跡されている悪用中のExchange Server脆弱性を修正しました。
同社は5月14日、CVE-2026-42897を悪用したゼロデイ攻撃についてExchangeユーザーに警告するとともに、一時的な緩和策を提供していました。
CISAは5月15日、この脆弱性を既知の悪用された脆弱性(KEV)カタログに追加し、連邦機関に対して5月29日までに対処するよう指示しました。
この脆弱性はスプーフィングおよびXSS(クロスサイトスクリプティング)の欠陥であり、Exchange Server Subscription Edition、2016、2019に影響します。
「攻撃者は特別に細工したメールをユーザーに送信することでこの問題を悪用できます。ユーザーがOutlook Web Accessでそのメールを開き、一定のインタラクション条件が満たされた場合、ブラウザのコンテキスト内で任意のJavaScriptが実行される恐れがあります」と、マイクロソフトはセキュリティアドバイザリで説明しています。
同社は6月9日にこの脆弱性向けのパッチをリリースし、できるだけ早くセキュリティ更新プログラムをインストールするよう顧客に呼びかけました。
マイクロソフトはこの脆弱性を匿名を希望する研究者から報告を受けており、攻撃の背後にいる人物や標的については依然として明らかになっていません。
CISAのKEVカタログにはExchangeの脆弱性が約24件含まれており、データによれば2021年から2023年にかけて悪用が急増したものの、2025年にはカタログへの新規追加はなく、2026年に入ってからはCVE-2026-42897のみが追加されています。
このことは、Exchangeの悪用が最盛期と比較して今日では著しく減少していることを示しています。
翻訳元: https://www.securityweek.com/microsoft-patches-exploited-exchange-server-vulnerability/
