コンテンツにスキップするには Enter キーを押してください

29,000台のサーバーがMicrosoft Exchangeの脆弱性に対して未修正のまま

投稿日 2025年8月13日

インターネットに公開されている29,000台以上のMicrosoft Exchangeサーバーが、攻撃者によるハイブリッドクラウド環境全体のドメイン乗っ取りを可能にする重大な脆弱性に対して、未修正のままとなっています。

この脆弱性は、CVE-2025-53786として追跡されており、Exchange Server 2016、Exchange Server 2019、およびMicrosoft Exchange Server Subscription Editionに影響します。攻撃者はオンプレミスのExchangeサーバーへの管理者権限を持っている場合、信頼されたトークンやAPIコールを偽造することで、接続されたMicrosoft 365環境で権限昇格を行うことができ、痕跡がほとんど残りません。

「これはExchangeにおける深刻な脆弱性であり、セキュリティチームは直ちに対応すべきです」とBlack Duckのインフラストラクチャセキュリティ・プラクティスディレクター、トーマス・リチャーズ氏は述べています。

「サーバーのパッチ適用だけでは不十分であり、侵害の検出が困難なため、Microsoftは、侵害された可能性のある信頼トークンをローテーションするための対応策をチームに提供しています。」

脅威監視グループShadowserverによる最近のスキャンでは、世界中で29,098台の脆弱なサーバーが確認されました。最も多い国は以下の通りです:

  • アメリカ:7,296台

  • ドイツ:6,682台

  • ロシア:2,513台

  • フランス:1,558台

  • イギリス:955台

  • オーストリア:928台

  • カナダ:860台

Microsoftは先週この脆弱性を公表しましたが、2025年4月にSecure Future Initiativeのもとでホットフィックスをリリースしています。このアップデートにより、オンプレミスとクラウドのExchangeサービス間で使用されていた安全でない共有IDモデルが、Microsoft Entra ID内の専用ハイブリッドアプリケーションに置き換えられました。

同社はこれまでに積極的な悪用の証拠は見つかっていないとしていますが、信頼性の高い攻撃コードが開発される可能性があると警告しています。

Microsoft Exchangeのセキュリティリスクについてさらに読む:ロシアAPT28がOutlookのバグを悪用しExchangeにアクセス

CISAが緊急の連邦対応を命令

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は先週、緊急指令25-02を発出し、すべての連邦行政機関に対し、8月11日午前9時(EDT)までにこの脆弱性を緩和するよう命じました。

「この脆弱性は、2025年4月のパッチガイダンスにまだ従っていないMicrosoft Exchangeハイブリッド構成を運用しているすべての組織にとって重大なリスクであり、即時の緩和が不可欠です」とCISAは述べています。

各機関は以下を実施しなければなりません:

  • MicrosoftのHealth Checkerスクリプトを使用してExchange環境をインベントリする

  • 2025年4月のホットフィックスでサポートされていない、パブリックに公開されているサーバー(サポート終了バージョンを含む)を切断する

  • 最新の累積アップデート(Exchange 2019の場合はCU14またはCU15、Exchange 2016の場合はCU23)を適用し、2025年4月のホットフィックスをインストールする

「現代のハイブリッドIT環境では、長らく忘れ去られたサービスアカウントによって、特権への隠れた経路が開かれていることがよくあります」とBeyondTrustのフィールドCTO、ジェームズ・モード氏は説明します。

「人間および非人間を含むすべてのIDの真の特権を可視化することは、AIを含むNHI(非人間アイデンティティ)が人間のIDを規模と特権で急速に上回る中、ますます重要になっています。」

政府システム以外へのリスク

この指令は連邦機関のみに拘束力がありますが、CISAはすべての組織に同様の対応を求めています。セキュリティ専門家もまた、注意を呼びかけています。

「非人間アイデンティティに関連するリスクを減らすために、セキュリティチームは最新のID管理手法、強固なガバナンス、積極的なセキュリティコントロールを導入する必要があります」とOasis Securityのリサーチ責任者、エラド・ルズ氏は述べています。

政府の期限まで数時間を残してもなお、数千台のサーバーが公開されたままであり、パッチ適用やセキュリティ対策が遅れれば、この脆弱性が迅速に悪用される可能性があると専門家は警告しています。

画像クレジット:gguy / Shutterstock.com

翻訳元: https://www.infosecurity-magazine.com/news/servers-unpatched-microsoft/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です