2025年8月7日Ravie Lakshmanan脆弱性 / 脅威検知
Microsoftは、オンプレミス版のExchange Serverに影響を与える高深刻度のセキュリティ脆弱性について勧告を公開しました。この脆弱性は、特定の条件下で攻撃者が権限を昇格できる可能性があります。
この脆弱性はCVE-2025-53786として追跡されており、CVSSスコアは8.0です。Outsider SecurityのDirk-jan Mollema氏がこのバグの報告者として認められています。
「Exchangeのハイブリッド展開において、攻撃者がまずオンプレミスのExchangeサーバーへの管理者アクセスを取得した場合、組織の接続されたクラウド環境内で、容易に検出・監査できる痕跡を残さずに権限を昇格できる可能性があります」と、同社は警告しています。
「このリスクは、ハイブリッド構成においてExchange ServerとExchange Onlineが同じサービスプリンシパルを共有していることに起因します。」
この脆弱性が悪用されると、攻撃者は組織の接続されたクラウド環境内で、容易に検出・監査できる痕跡を残さずに権限を昇格できる可能性があると、同社は付け加えています。ただし、この攻撃は脅威アクターがすでにExchange Serverの管理者権限を持っていることが前提となります。
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は独自の通達で、この脆弱性が未修正のままだと、組織のExchange Onlineサービスのアイデンティティの完全性に影響を及ぼす可能性があると述べています。
緩和策として、顧客はハイブリッド展開向けのExchange Serverセキュリティ変更を確認し、2025年4月のホットフィックス(またはそれ以降)をインストールし、構成手順に従うことが推奨されています。
「以前にExchangeハイブリッドやExchange ServerとExchange Online組織間のOAuth認証を構成したが、現在は使用していない場合は、サービスプリンシパルのkeyCredentialsをリセットしてください」とMicrosoftは述べています。
この動きは、Windowsの開発元である同社が、今月からExchange Onlineの共有サービスプリンシパルを使用したExchange Web Services(EWS)トラフィックを一時的にブロックし、専用のExchangeハイブリッドアプリの導入を促進し、ハイブリッド環境のセキュリティ態勢を強化するための措置を発表したことに伴うものです。
CVE-2025-53786に関するMicrosoftの勧告は、CISAが最近公開されたSharePointの脆弱性(ToolShellとして総称される)悪用後に展開された様々な悪意のあるアーティファクトを分析したこととも時期を同じくしています。
これには、Base64でエンコードされた2つのDLLバイナリと、ASP.NETアプリケーションの構成内のマシンキー設定を取得し、コマンドの実行やファイルのアップロードを行うWebシェルとして機能する4つのActive Server Page Extended(ASPX)ファイルが含まれています。
「サイバー脅威アクターは、このマルウェアを利用して暗号鍵を盗み、Base64でエンコードされたPowerShellコマンドを実行してホストシステムの特定やデータの持ち出しを行う可能性があります」と同庁は述べています。
CISAはまた、サポート終了(EOL)やサービス終了となったExchange ServerやSharePoint Serverのパブリック向けバージョンをインターネットから切断し、古いバージョンの使用を中止するよう各組織に強く呼びかけています。
翻訳元: https://thehackernews.com/2025/08/microsoft-discloses-exchange-server.html