サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Windows CLFSおよびMicrosoft Exchange Serverなど、マイクロソフトの主要製品に影響を与える2つの積極的に悪用されている脆弱性に関する緊急アラートを発行しました。
これらの脆弱性は2026年4月13日にCISAの既知の悪用されている脆弱性(KEV)カタログに正式に追加されました。
CISAは、両方のバグが政府およびエンタープライズネットワークに対する実世界の攻撃で活用されていることを警告しました。
連邦機関と民間組織は、潜在的なデータ侵害とネットワーク侵害を防ぐため、影響を受けたシステムに緊急にパッチを適用することを強く求められています。
CVE-2023-36424として追跡されている最初の脆弱性は、Microsoft Windows Common Log File System(CLFS)ドライバ内に存在します。
境界外読み取り問題についてCWE-125に分類されるこの欠陥は、ソフトウェアが割り当てられたメモリバッファを超えて読み取る場合に発生し、機密データが漏洩したりシステムの不安定性を引き起こす可能性があります。
CLFSはシステムログのために多くのWindowsプロセスで使用される重要なコンポーネントであるため、この不具合を悪用する攻撃者は管理制御を取得したり、セキュリティ機構を無効にしたり、ネットワーク全体を横に移動したりできます。
ランサムウェアオペレータがこの脆弱性を積極的に悪用しているかどうかはまだ確認されていませんが、セキュリティアナリストは、そのような権限昇格の欠陥がマルチステージ攻撃の一部として頻繁に使用されていることに注目しています。
2番目の重大な脆弱性であるCVE-2023-21529は、Microsoft Exchange Serverに影響を与え、信頼されていないデータの逆シリアル化に関連しています。
CWE-502に分類されるこの問題により、認証された攻撃者は脆弱なサーバ上でリモートコード(RCE)を実行できます。
Exchange Serverは、企業メッセージングとディレクトリサービスにおける中心的な役割のため、サイバー犯罪者の主要な標的のままです。
この欠陥を悪用すると、攻撃者はリモートコマンドを配置したり、バックドアをインストールしたり、組織ネットワークをより深く侵略したりできます。
CISAがこのバグを特定のランサムウェアグループにリンクしていませんが、専門家はパッチが適用されないままの場合の広範な悪用の可能性を強調しています。
Exchangeのリモートコード実行脆弱性は、歴史的に国家と金銭的に動機付けられた侵入の入口として機能してきました。
CISAの既知の悪用されている脆弱性ポリシーの下では、すべての連邦民間行政部門(FCEB)機関は、2026年4月27日までに影響を受けたWindowsおよびExchangeシステムにパッチを適用する必要があります。
マイクロソフトのパッチを適用できない組織は、脆弱な製品の使用を中止することをお勧めします。
サイバーセキュリティの専門家は、迅速に行動しない場合、ネットワークが野生でこれらの弱点をすでに悪用している高度な永続的な脅威にさらされる可能性があることに注意しています。
翻訳元: https://cyberpress.org/cisa-warns-of-microsoft-exchange-and-windows-clfs-flaws-exploited-in-attacks/
