マイクロソフトは、Exchange Server の 2 つのゼロデイ脆弱性についてアドバイザリを発行しますが、パッチはまだありません

Microsoft Exchange Server は停止できません。昨年、同社はローカルサーバーへの広範な攻撃について警告し、数週間にわたって急いでそれらに対処し、セキュリティアップデートをリリースするための対策を詳しく説明しました. 現在、このソフトウェアは 2 つのゼロデイ脆弱性で再び攻撃されているようです。

通常、これは Exchange Online のお客様に影響を与えず、何もする必要はありません。この脆弱性は、Exchange Server 2013、2016、および 2019 のローカル インストールに適用されます。

2 つの脆弱性には、それぞれ CVE-2022-41040 と CVE-2022-41082 のタグが付けられています。前者はサーバー サイド リクエスト フォージェリ (SSRF) の脆弱性で、後者は攻撃者が PowerShell を介してリモート コード実行 (RCE) 攻撃を実行できるようにします。ただし、攻撃者が 2 つの脆弱性のいずれかを悪用するには、Exchange Server への認証済みアクセスが必要です。

まだ修正がないため、当然のことながら Microsoft は攻撃チェーンの詳細には触れませんでした。ただし、ブロック ルールを URL 書き換え命令に追加したり、リモート PowerShell で使用されるポート 5985 (HTTP) および 5986 (HTTPS) をブロックしたりするなど、いくつかの緩和策を指摘しています。

残念ながら、Microsoft Sentinel の特定の検索はありません。Microsoft Defender for Endpoint は、悪用後のアクティビティのみを検出できます。これには、「実際の」攻撃で見つかった「Chopper」Web シェル マルウェアの検出も含まれます。マイクロソフトは、修正の「迅速な対応」に取り組んでいることを顧客に保証していますが、修正の暫定的なリリース日はまだ明らかにしていません。軽減策とゼロデイ脆弱性検出の詳細については、こちらを参照してください。