「Microsoft Exchange Server」に未修整のゼロデイ脆弱性 ～Microsoftが緩和策を発表

「Microsoft Exchange Server」に未修整のゼロデイ脆弱性

　Microsoftは9月30日（日本時間）、「Microsoft Exchange Server」にすでに限定的な標的型攻撃が確認されている問題が存在することを発表した。同社は修正プログラムの開発を急いでいるが、現時点では未リリースとなっている。

　同問題では、サーバーサイドリクエストフォージェリ（SSRF）の脆弱性「CVE-2022-41040」と、攻撃者が「PowerShell」にアクセスできる場合にリモートでコードを実行できる（RCE）脆弱性「CVE-2022-41082」という2つを組み合わせて使われている。脆弱な「Microsoft Exchange Server」の認証されたアクセス権をもつ攻撃者によって、リモートからコードを実行されてしまう可能性があるという。

　影響を受けるのは以下のバージョン

• 「Microsoft Exchange Server 2019」
• 「Microsoft Exchange Server 2016」
• 「Microsoft Exchange Server 2013」

　同社は、「IIS Manager」の［Default Web Site］－［Autodiscover］－［URL Rewrite］－［Actions］に既知の攻撃パターンをブロックするルールを追加することを推奨している。この作業には以下の3つの方法があるとのこと。

• Exchange Server 緊急緩和サービス（EMS）を有効にする（すでに有効にしている場合は自動で緩和策が適用される）
• 同社の公開した「Exchange On-premises Mitigation Tool v2」（EOMTv2）をダウンロードし実行する
• 「IIS Manager」を手動で設定する（詳細な設定方法はMicrosoft Security Response Center」の記事「を参照のこと）

　なお、「Microsoft Exchange Online」では対策を実施する必要はない。