MS-Exchangeにおける別のリモート・コード実行

マイクロソフト社の Exchange Server に再び 2 つの深刻な脆弱性が発生した：Common Vulnerability Score System（共通脆弱性スコアシステム）の深刻度が8.8と6.3で、これまでパッチが適用されていなかった脆弱性（CVE-2022-41040とCVE-2022-41082）は、マイクロソフトのメールシステムに依存するすべてのサーバーにとって脅威となる。

現在、これらの脆弱性は攻撃者によっても積極的に悪用されているため、影響を受ける管理者は、製造元が問題を修正するまで、Microsofts Blogからの回避策を直ちに実行するようにしてください。この脆弱性は、すでに9月末にセキュリティ会社GTSCによって発見されており、マイクロソフト社によるパッチはまだ保留されている。

影響を受けるExchange 2013、2016 および 2019

Microsoft Exchange Server バージョン 2013、2016、2019 のすべてのオンプレミスインストールが影響を受けます。grommunio の顧客および製品は、この脆弱性の影響を受けません。

ベンダーの告白によると、この欠陥(以下は常に更新されるBSIレポート)は、「認証されたアカウントに対するリモートコード実行」、すなわちユーザーアカウントを介した任意のコードの実行を可能にします。推奨される回避策は、マイクロソフト社のすべてのオンプレミス顧客に対し、非特権ユーザーのPowershell（Windowsシステムのコマンドライン）へのリモートアクセスを無効にするよう強く勧告している。これは現在、攻撃者がこれらのアカウントを悪用し、サーバーやローカルネットワークに深刻な損害を与えるのを防ぐ唯一の方法である。

マイクロソフトによる初期対策は不十分である

セキュリティ専門家たちは、この問題の調査を継続し、主にツイッターで調査結果を共有している。関連するハッシュタグは#proxynotshellで、2021年以降のExchangeにおける他のセキュリティインシデントに言及している。BSIとマイクロソフトが採用した、Powershellからすべての非特権ユーザーを「ロックアウト」するアドバイスも、マイクロソフトが当初提案した緩和策が[検証の結果]成功に至らなかったことを受けて、Twitterを通じて発信された(https://www.frankysweb.de/proxynotshell-workaround-laesst-sich-einfach-umgehen/)。

**grommunio](/demo/)**を自分のサーバーで無料でテストしてください。

---

アップデート

12.10月予想に反して、マイクロソフトは最新のパッチデー（10月11日）に脆弱性に対するパッチを提供しなかった。問題のある回避策やハッカーがすでに積極的に脆弱性を悪用していることから、マイクロソフトは現在、Windows、Hyper-V、Officeにおいてより深刻なセキュリティホールに直面している。マイクロソフトのセキュリティ・レスポンス・センターのブログ記事](https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/)は、米マイクロソフトによって継続的に更新されており、最後のエントリーは10月9日のものである。