サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Microsoftの製品で積極的に悪用されている2つのセキュリティ脆弱性に関する優先度の高いアラートを発表しました。
2026年4月13日に既知の悪用済み脆弱性(KEV)カタログに追加されたこれらの欠陥は、Microsoft Windows Common Log File System(CLFS)およびMicrosoft Exchange Serverに影響を及ぼします。
連邦機関および民間組織は、潜在的なサイバー攻撃を防ぐために、これらのシステムに直ちにパッチを適用することを強く求められています。脅威行為者が企業ネットワークの侵害のためにコアMicrosoftインフラストラクチャを頻繁に標的にするため、これらの重大なバグは大きなリスクをもたらします。
Windows CLFSの欠陥(CVE-2023-36424)
最初の重大な欠陥はCVE-2023-36424で、Microsoft Windows CLFSドライバに位置する境界外読み取り脆弱性です。
この特定の欠陥により、ローカルの脅威行為者が侵害されたシステム上で特権をエスカレートできます。
この脆弱性はCWE-125の下で追跡されており、これはソフトウェアが意図されたメモリバッファの終端を超えて、または開始前にデータを読み取ることを指します。
CLFSドライバは、多くのWindowsアプリケーションが依存する組み込みロギングサブシステムであり、権限をエスカレートしようとするハッカーにとって魅力的なターゲットになっています。
ランサムウェア事業者がこの脆弱性を彼らのキャンペーンで積極的に利用しているかどうかは不明なままですが、特権エスカレーション欠陥は攻撃者にとって極めて価値があります。
サイバー犯罪者は日常的にこれらのバグを使用して、より深いシステム制御を獲得し、セキュリティソフトウェアを無効化し、機密データを盗みます。
Exchange Serverの脆弱性(CVE-2023-21529)
CVE-2023-21529として識別された2番目の主要な脆弱性は、Microsoft Exchange Serverに影響します。
この欠陥には信頼されていないデータの逆シリアル化が含まれており、認証された攻撃者が脆弱なサーバー上でリモートコード実行(RCE)を達成できます。
CWE-502の下で分類されている逆シリアル化の欠陥は、アプリケーションが悪質なデータをその安全性を適切に検証することなく読み取るときに発生します。
Microsoft Exchange Serversは重要なメール通信とアクティブディレクトリを管理しているため、これらにパッチを適用することはITチームの最優先事項であるべきです。
リモートコード実行はセキュリティ脅威の最も深刻なタイプの1つです。ハッカーがネットワーク上で危険なコマンドを実行する機能を提供するためです。
Windows CLFSバグのように、現在このExchange Server脆弱性を積極的なランサムウェアキャンペーンにリンクする確認済みのデータはありません。
しかし、サーバーがパッチされないままの場合、ネットワークの深刻な侵害のリスクは極めて高いままです。
必要な対策と期限
CISAは、すべての連邦民間行政部門(FCEB)機関が2026年4月27日までにこれらの脅威からネットワークを保護することを義務付けています。
セキュリティ専門家は、民間企業がインフラストラクチャを保護するために同じタイムラインに従うことを強く勧めています。
システム管理者の主要なアクションは以下の通りです:
- WindowsおよびExchange ServerのMicrosoftから提供される最新のセキュリティ更新を適用する。
- 影響を受けるクラウドサービスについて、拘束的運用指令(BOD)22-01で概説されたガイダンスに従う。
- ベンダーの緩和策を適用できない場合、脆弱な製品の使用を完全に廃止する。
翻訳元: https://gbhackers.com/cisa-alerts-on-exploited-microsoft-exchange-flaws/
