パスワードを忘れた? アカウント作成
15808826 story
バグ

Exchange Server に 2 件のゼロデイ脆弱性 3

ストーリー by nagazou
脆弱性 部門より
headless 曰く、

Microsoft が Exchange Server 2013 / 2016 / 2019 に影響する 2 件のゼロデイ脆弱性を公表し、緩和策を紹介している (Microsoft Security Response Center の記事Neowin の記事Ars Technica の記事HackRead の記事)。

2 件の脆弱性は特権昇格の脆弱性 (SSRF 脆弱性) CVE-2022-41040 と、PowerShell を利用したリモートコード実行 (RCE) の脆弱性 CVE-2022-41082 だ。認証された攻撃者は CVE-2022-41040 を悪用することで、リモートから CVE-2022-41082 を引き起こすことができる。

攻撃者は脆弱性のある Exchange Server で認証される必要があるため影響範囲は限定的だが、実際に攻撃が確認されているという。Exchange Online のユーザーは影響を受けない。

Microsoft では脆弱性の修正を緊急に進めているが、現時点で提供時期は未定のようだ。そのため、IIS Manager の URL 書き換えルールで既知の攻撃パターンをブロック対象に指定するという緩和策を紹介しており、この緩和策を適用する PowerShell スクリプトも提供している。また、Microsoft Exchange Emergency Mitigation Serviceを有効にしている顧客の Exchange Server 2016 / 2019 環境では、緩和策が自動で有効になるとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年10月04日 12時08分 (#4338206)

    まあ、この話題が盛り上がらんのはこのご時世にオンプレのExchange使っている会社・団体って少なくなったからだよなぁ。 Exchangeが必要だったら世界最大のSaaSであるMS365入ってると思うし。

    • by Anonymous Coward

      それな。
      Onlineはオンプレ時代よりも少し障害が起きる頻度上がった気がしなくもないけど、オンプレのExchangeとか面倒見切るの大変だし。

      • by Anonymous Coward

        メモリ16MBのヤツに力技でインストールさせられた苦い思い出…

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...